Krytyczna luka RCE w manga-image-translator przez niebezpieczną deserializację
Krytyczna luka RCE w manga-image-translator pozwala na wykonanie dowolnego kodu przez niebezpieczną deserializację pickle. Zalecane szybkie działania zabezpieczające.
- CVSS
- 9.2 CRITICAL
- EPSS
- 45.45%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
W manga-image-translator wykryto krytyczną lukę zdalnego wykonania kodu (RCE) w trybie serwera API, wynikającą z niebezpiecznej deserializacji niezaufanych danych pickle w module share.py. Atakujący może przesłać spreparowany ładunek pickle do punktów końcowych /execute/{method_name} i /simple_execute/{method_name}, co pozwala na wykonanie dowolnego kodu na serwerze.
Wpływ biznesowy
Luka ta umożliwia pełne przejęcie kontenera, zwłaszcza gdy aplikacja działa w domyślnym środowisku Docker jako root. Może to prowadzić do poważnych naruszeń bezpieczeństwa, w tym eskalacji uprawnień i utraty kontroli nad infrastrukturą kontenerową. Operatorzy powinni traktować tę lukę jako krytyczną i priorytetowo podejść do jej zaadresowania.
Rekomendowane działania administratora
Zaleca się natychmiastową weryfikację dostępności aktualizacji lub poprawek od dostawcy manga-image-translator. W międzyczasie ogranicz ekspozycję punktów końcowych API, monitoruj logi pod kątem podejrzanych żądań oraz rozważ wdrożenie mechanizmów ograniczających możliwość deserializacji niezaufanych danych. Priorytetyzuj działania zabezpieczające w środowiskach produkcyjnych, szczególnie tych uruchamianych z uprawnieniami root.