CVE-2026-26009
KrytyczneStreszczenie
CVE-2026-26009 dotyczy platformy Catalyst, która umożliwia hostowanie serwerów gier i integrację paneli rozliczeniowych. Skrypty instalacyjne w szablonach serwerów wykonują polecenia bezpośrednio na systemie operacyjnym jako root, co pozwala na zdalne wykonanie kodu na każdym węźle klastra przez użytkowników z odpowiednimi uprawnieniami.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ każdy użytkownik z uprawnieniami do tworzenia lub aktualizacji szablonów może uzyskać pełny dostęp do systemu, co może prowadzić do kompromitacji całej infrastruktury.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie systemu do wersji zawierającej poprawkę z commit 11980aaf3f46315b02777f325ba02c56b110165d oraz ograniczenie uprawnień użytkowników do tworzenia i aktualizacji szablonów.
Oryginalny opis (angielski, źródło NVD)
Catalyst is a platform built for enterprise game server hosts, game communities, and billing panel integrations. Install scripts defined in server templates execute directly on the host operating system as root via bash -c, with no sandboxing or containerization. Any user with template.create or template.update permission can define arbitrary shell commands that achieve full root-level remote code execution on every node machine in the cluster. This vulnerability is fixed in commit 11980aaf3f46315b02777f325ba02c56b110165d.

