Katalog CVE

CVE-2026-44449

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W aplikacji Lumiverse przed wersją 0.9.7 występuje podatność, która pozwala na wykonanie dowolnych poleceń na serwerze Lumiverse. Problem wynika z braku walidacji w metodzie toSmbPath, co umożliwia wstrzyknięcie złośliwych komend przez nieodpowiednio sformatowaną nazwę pliku.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do przejęcia kontroli nad serwerem Lumiverse, co stwarza poważne zagrożenie dla bezpieczeństwa danych i systemów organizacji.

Rekomendacja

Zaleca się aktualizację aplikacji Lumiverse do wersji 0.9.7 lub nowszej, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa systemu.

Oryginalny opis (angielski, źródło NVD)

Lumiverse is a full-featured AI chat application. Prior to 0.9.7, when the primary toSmbPath(fullPath) call throws, the method falls back to a dirname/basename split and only validates the directory prefix. The basename is concatenated directly into the smbclient -c script without validation. smbclient interprets ; as a subcommand separator and !cmd as a local-shell escape that runs cmd on the host. A path whose directory component is clean but whose basename contains "; !<cmd>; echo " achieves arbitrary command execution on the Lumiverse server. This vulnerability is fixed in 0.9.7.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS