Katalog CVE

CVE-2026-26009

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

CVE-2026-26009 dotyczy platformy Catalyst, która umożliwia hostowanie serwerów gier i integrację paneli rozliczeniowych. Skrypty instalacyjne w szablonach serwerów wykonują polecenia bezpośrednio na systemie operacyjnym jako root, co pozwala na zdalne wykonanie kodu na każdym węźle klastra przez użytkowników z odpowiednimi uprawnieniami.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ każdy użytkownik z uprawnieniami do tworzenia lub aktualizacji szablonów może uzyskać pełny dostęp do systemu, co może prowadzić do kompromitacji całej infrastruktury.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie systemu do wersji zawierającej poprawkę z commit 11980aaf3f46315b02777f325ba02c56b110165d oraz ograniczenie uprawnień użytkowników do tworzenia i aktualizacji szablonów.

Oryginalny opis (angielski, źródło NVD)

Catalyst is a platform built for enterprise game server hosts, game communities, and billing panel integrations. Install scripts defined in server templates execute directly on the host operating system as root via bash -c, with no sandboxing or containerization. Any user with template.create or template.update permission can define arbitrary shell commands that achieve full root-level remote code execution on every node machine in the cluster. This vulnerability is fixed in commit 11980aaf3f46315b02777f325ba02c56b110165d.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS