CVE-2026-42796
KrytyczneStreszczenie
Arelle w wersjach przed 2.39.10 zawiera podatność na zdalne wykonanie kodu bez uwierzytelnienia w punkcie końcowym /rest/configure, który akceptuje parametr zapytania plugins. Atakujący mogą dostarczyć URL do złośliwego pliku Python, co prowadzi do pobrania i wykonania kodu kontrolowanego przez atakującego.
Ocena ryzyka
Podatność ta pozwala atakującym na wykonanie dowolnego kodu w kontekście procesu Arelle, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.
Rekomendacja
Zaleca się aktualizację Arelle do wersji 2.39.10 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy ograniczyć dostęp do punktu końcowego /rest/configure.
Oryginalny opis (angielski, źródło NVD)
Arelle before 2.39.10 contains an unauthenticated remote code execution vulnerability in the /rest/configure REST endpoint that accepts a plugins query parameter and forwards it to the plugin manager without authentication or authorization. Attackers can supply a URL to a malicious Python file through the plugins parameter, causing the Arelle webserver to download and execute the attacker-controlled code within the Arelle process with its privileges.

