Katalog CVE

CVE-2026-25856

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 50 - wyżej niż 50% wszystkich znanych CVE

Streszczenie

OpenBullet2 w wersji do 0.3.2 zawiera podatność na zdalne wykonanie kodu, która pozwala uwierzytelnionym użytkownikom na wykonywanie dowolnego kodu C# na serwerze poprzez tworzenie lub modyfikowanie konfiguracji zadań. Atakujący mogą wykorzystać tryb wykonania C#, który nie ma filtracji odniesień ani ograniczeń API.

Ocena ryzyka

Podatność ta może prowadzić do poważnych naruszeń bezpieczeństwa, umożliwiając atakującym dostęp do systemu plików oraz uruchamianie procesów w kontekście użytkownika procesu. Może to skutkować kradzieżą danych lub przejęciem kontroli nad serwerem.

Rekomendacja

Zaleca się aktualizację OpenBullet2 do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, należy ograniczyć dostęp do konfiguracji zadań tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

OpenBullet2 through version 0.3.2 contains an authenticated remote code execution vulnerability that allows authenticated users to execute arbitrary C# code on the server host by creating or modifying job configurations. Attackers can leverage the plain C# execution mode, which lacks reference filtering or API restrictions, to access the file system, spawn processes, and invoke arbitrary .NET APIs as the process user.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS