Katalog CVE

CVE-2026-34444

KrytyczneCVSS 10.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.61%

Percentyl 45 — wyżej niż 45% wszystkich znanych CVE

Streszczenie

Lupa integruje środowiska uruchomieniowe Lua lub LuaJIT2 z CPythonem. W wersji 2.6 i wcześniejszych filtr atrybutów nie jest konsekwentnie stosowany przy dostępie do atrybutów przez wbudowane funkcje, takie jak getattr i setattr. Pozwala to atakującemu ominąć zamierzone ograniczenia i ostatecznie uzyskać zdalne wykonanie kodu.

Ocena ryzyka

Ryzyko polega na możliwości ominięcia mechanizmów bezpieczeństwa i uzyskania pełnej kontroli nad systemem, co może prowadzić do kradzieży danych, instalacji złośliwego oprogramowania lub przejęcia infrastruktury.

Rekomendacja

Zaleca się natychmiastową aktualizację biblioteki Lupa do wersji 2.7 lub nowszej, która zawiera poprawkę dla tej podatności. Należy również przejrzeć konfiguracje filtrów atrybutów w istniejących wdrożeniach.

Oryginalny opis (angielski, źródło NVD)

Lupa integrates the runtimes of Lua or LuaJIT2 into CPython. In 2.6 and earlier, attribute_filter is not consistently applied when attributes are accessed through built-in functions like getattr and setattr. This allows an attacker to bypass the intended restrictions and eventually achieve arbitrary code execution.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS