Katalog CVE

CVE-2026-42796

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Arelle w wersjach przed 2.39.10 zawiera podatność na zdalne wykonanie kodu bez uwierzytelnienia w punkcie końcowym /rest/configure, który akceptuje parametr zapytania plugins. Atakujący mogą dostarczyć URL do złośliwego pliku Python, co prowadzi do pobrania i wykonania kodu kontrolowanego przez atakującego.

Ocena ryzyka

Podatność ta pozwala atakującym na wykonanie dowolnego kodu w kontekście procesu Arelle, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Rekomendacja

Zaleca się aktualizację Arelle do wersji 2.39.10 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy ograniczyć dostęp do punktu końcowego /rest/configure.

Oryginalny opis (angielski, źródło NVD)

Arelle before 2.39.10 contains an unauthenticated remote code execution vulnerability in the /rest/configure REST endpoint that accepts a plugins query parameter and forwards it to the plugin manager without authentication or authorization. Attackers can supply a URL to a malicious Python file through the plugins parameter, causing the Arelle webserver to download and execute the attacker-controlled code within the Arelle process with its privileges.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS