CVE-2026-34444
KrytyczneCVSS 10.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 45 — wyżej niż 45% wszystkich znanych CVE
Streszczenie
Lupa integruje środowiska uruchomieniowe Lua lub LuaJIT2 z CPythonem. W wersji 2.6 i wcześniejszych filtr atrybutów nie jest konsekwentnie stosowany przy dostępie do atrybutów przez wbudowane funkcje, takie jak getattr i setattr. Pozwala to atakującemu ominąć zamierzone ograniczenia i ostatecznie uzyskać zdalne wykonanie kodu.
Ocena ryzyka
Ryzyko polega na możliwości ominięcia mechanizmów bezpieczeństwa i uzyskania pełnej kontroli nad systemem, co może prowadzić do kradzieży danych, instalacji złośliwego oprogramowania lub przejęcia infrastruktury.
Rekomendacja
Zaleca się natychmiastową aktualizację biblioteki Lupa do wersji 2.7 lub nowszej, która zawiera poprawkę dla tej podatności. Należy również przejrzeć konfiguracje filtrów atrybutów w istniejących wdrożeniach.
Oryginalny opis (angielski, źródło NVD)
Lupa integrates the runtimes of Lua or LuaJIT2 into CPython. In 2.6 and earlier, attribute_filter is not consistently applied when attributes are accessed through built-in functions like getattr and setattr. This allows an attacker to bypass the intended restrictions and eventually achieve arbitrary code execution.

