CVE-2026-25244: krytyczna luka w webdriverio umożliwiająca zdalne wykonanie kodu

WebdriverIO do wersji 9.24.0 zawiera krytyczną lukę umożliwiającą zdalne wykonanie kodu. Zalecana natychmiastowa aktualizacja i monitoring środowisk testowych.
CVE-2026-25244CVSS 9.8SSH

CVE-2026-25244: krytyczna luka w webdriverio umożliwiająca zdalne wykonanie kodu

WebdriverIO do wersji 9.24.0 zawiera krytyczną lukę umożliwiającą zdalne wykonanie kodu. Zalecana natychmiastowa aktualizacja i monitoring środowisk testowych.

CVSS
9.8 CRITICAL
EPSS
84.73%
Aktywnie wykorzystywana
brak w KEV
Produkt
webdriverio

Co wiadomo

WebdriverIO w wersjach poniżej 9.24.0 zawiera krytyczną lukę polegającą na wstrzyknięciu poleceń, co pozwala na zdalne wykonanie kodu podczas orkiestracji testów. Luka wynika z braku sanitacji nazw gałęzi Git, które mogą zawierać złośliwe metaznaki powłoki.

Wpływ biznesowy

Eksploatacja tej luki może prowadzić do przejęcia kontroli nad serwerami CI/CD oraz maszynami deweloperskimi, skutkując wyciekiem poświadczeń, kluczy SSH, kodu źródłowego oraz umożliwiając ataki na łańcuch dostaw poprzez zainfekowane artefakty budowania. Organizacje korzystające z WebdriverIO powinny traktować tę lukę jako krytyczną ze względu na potencjalne poważne konsekwencje dla bezpieczeństwa i ciągłości działania.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie WebdriverIO do wersji 9.24.0 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć ekspozycję środowisk testowych, dokładnie monitorować logi pod kątem podejrzanej aktywności oraz przeprowadzić przegląd konfiguracji repozytoriów Git, zwracając uwagę na nazwy gałęzi. Priorytetowo traktuj wdrożenie poprawek i weryfikację bezpieczeństwa procesów CI/CD.

Źródła