Katalog CVE

CVE-2026-49143

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

BrowserStack Runner w wersji do 0.9.5 zawiera podatność na zdalne wykonanie kodu w obsłudze HTTP /_log, która pozwala nieautoryzowanym atakującym z sieci lokalnej na wykonanie dowolnego kodu poprzez przesyłanie spreparowanych żądań JSON. Wykorzystując referencję do funkcji w kontekście hosta, atakujący mogą uzyskać dostęp do procesu hosta, co prowadzi do pełnego zdalnego wykonania kodu.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym zdalne przejęcie kontroli nad systemem bez potrzeby autoryzacji. Może to prowadzić do wycieku danych, usunięcia lub modyfikacji krytycznych zasobów.

Rekomendacja

Zaleca się aktualizację BrowserStack Runner do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto ograniczyć dostęp do obsługi HTTP /_log tylko do zaufanych źródeł.

Oryginalny opis (angielski, źródło NVD)

BrowserStack Runner through 0.9.5 contains a remote code execution vulnerability in the /_log HTTP handler that allows unauthenticated network-adjacent attackers to execute arbitrary code by submitting crafted JSON request bodies to the handler, which passes user-supplied data to vm.runInNewContext() combined with eval(). Attackers can escape the Node.js vm sandbox by leveraging a host-context Function reference through util.format to access the host process via this.constructor.constructor, achieving full remote code execution on the underlying system without any authentication.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS