CVE-2026-25856
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 50 - wyżej niż 50% wszystkich znanych CVE
Streszczenie
OpenBullet2 w wersji do 0.3.2 zawiera podatność na zdalne wykonanie kodu, która pozwala uwierzytelnionym użytkownikom na wykonywanie dowolnego kodu C# na serwerze poprzez tworzenie lub modyfikowanie konfiguracji zadań. Atakujący mogą wykorzystać tryb wykonania C#, który nie ma filtracji odniesień ani ograniczeń API.
Ocena ryzyka
Podatność ta może prowadzić do poważnych naruszeń bezpieczeństwa, umożliwiając atakującym dostęp do systemu plików oraz uruchamianie procesów w kontekście użytkownika procesu. Może to skutkować kradzieżą danych lub przejęciem kontroli nad serwerem.
Rekomendacja
Zaleca się aktualizację OpenBullet2 do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, należy ograniczyć dostęp do konfiguracji zadań tylko do zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
OpenBullet2 through version 0.3.2 contains an authenticated remote code execution vulnerability that allows authenticated users to execute arbitrary C# code on the server host by creating or modifying job configurations. Attackers can leverage the plain C# execution mode, which lacks reference filtering or API restrictions, to access the file system, spawn processes, and invoke arbitrary .NET APIs as the process user.

