Krytyczna luka RCE w manga-image-translator przez niebezpieczną deserializację

Krytyczna luka RCE w manga-image-translator pozwala na wykonanie dowolnego kodu przez niebezpieczną deserializację pickle. Zalecane szybkie działania zabezpieczające.
CVE-2026-10042CVSS 9.2Containers

Krytyczna luka RCE w manga-image-translator przez niebezpieczną deserializację

Krytyczna luka RCE w manga-image-translator pozwala na wykonanie dowolnego kodu przez niebezpieczną deserializację pickle. Zalecane szybkie działania zabezpieczające.

CVSS
9.2 CRITICAL
EPSS
45.45%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W manga-image-translator wykryto krytyczną lukę zdalnego wykonania kodu (RCE) w trybie serwera API, wynikającą z niebezpiecznej deserializacji niezaufanych danych pickle w module share.py. Atakujący może przesłać spreparowany ładunek pickle do punktów końcowych /execute/{method_name} i /simple_execute/{method_name}, co pozwala na wykonanie dowolnego kodu na serwerze.

Wpływ biznesowy

Luka ta umożliwia pełne przejęcie kontenera, zwłaszcza gdy aplikacja działa w domyślnym środowisku Docker jako root. Może to prowadzić do poważnych naruszeń bezpieczeństwa, w tym eskalacji uprawnień i utraty kontroli nad infrastrukturą kontenerową. Operatorzy powinni traktować tę lukę jako krytyczną i priorytetowo podejść do jej zaadresowania.

Rekomendowane działania administratora

Zaleca się natychmiastową weryfikację dostępności aktualizacji lub poprawek od dostawcy manga-image-translator. W międzyczasie ogranicz ekspozycję punktów końcowych API, monitoruj logi pod kątem podejrzanych żądań oraz rozważ wdrożenie mechanizmów ograniczających możliwość deserializacji niezaufanych danych. Priorytetyzuj działania zabezpieczające w środowiskach produkcyjnych, szczególnie tych uruchamianych z uprawnieniami root.

Źródła