CVE-2026-41196
KrytyczneStreszczenie
W Luanti (wcześniej Minetest) występuje podatność, która pozwala złośliwym modom na ucieczkę z piaskownicy środowiska Lua i wykonanie dowolnego kodu, uzyskując pełny dostęp do systemu plików użytkownika. Dotyczy to zarówno modów po stronie serwera, jak i środowisk po stronie klienta.
Ocena ryzyka
Organizacje mogą być narażone na poważne zagrożenia związane z bezpieczeństwem, w tym nieautoryzowany dostęp do danych i systemów, co może prowadzić do utraty poufności i integralności informacji.
Rekomendacja
Zaleca się aktualizację do wersji 5.15.2, która zawiera poprawkę. Alternatywnie, można ręcznie załatać problem, edytując plik `builtin/init.lua` i dodając linię `getfenv = nil` na końcu, pamiętając, że może to wpłynąć na działanie niektórych modów.
Oryginalny opis (angielski, źródło NVD)
Luanti (formerly Minetest) is an open source voxel game-creation platform. Starting in version 5.0.0 and prior to version 5.15.2, a malicious mod can trivially escape the sandboxed Lua environment to execute arbitrary code and gain full filesystem access on the user's device. This applies to the server-side mod, async and mapgen as well as the client-side (CSM) environments. This vulnerability is only exploitable when using LuaJIT. Version 5.15.2 contains a patch. On release versions, one can also patch this issue without recompiling by editing `builtin/init.lua` and adding the line `getfenv = nil` at the end. Note that this will break mods relying on this function (which is not inherently unsafe).

