CVE-2026-30302: Krytyczna luka RCE w CodeRider-Kilo na Windows
Krytyczna luka OS Command Injection w CodeRider-Kilo umożliwia zdalne wykonanie kodu na Windows. Zalecane szybkie aktualizacje i monitorowanie systemów.
- CVSS
- 10.0 CRITICAL
- EPSS
- 78.26%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- coderider
Co wiadomo
Moduł automatycznego zatwierdzania poleceń w CodeRider-Kilo zawiera lukę typu OS Command Injection, która omija mechanizm białej listy. Błąd wynika z nieprawidłowego parsowania poleceń Windows CMD przy użyciu niekompatybilnej biblioteki Unixowej, co umożliwia wykonanie złośliwych poleceń.
Wpływ biznesowy
Luka pozwala atakującym na zdalne wykonanie dowolnego kodu z uprawnieniami aplikacji, co stanowi poważne zagrożenie dla systemów Windows korzystających z CodeRider-Kilo. Może to prowadzić do przejęcia kontroli nad infrastrukturą, wycieku danych lub dalszej eskalacji ataku. Operatorzy powinni traktować tę lukę jako krytyczną i priorytetowo wdrożyć odpowiednie środki zaradcze.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji od producenta CodeRider-Kilo oraz ich wdrożenie. W przypadku braku łatki należy ograniczyć ekspozycję aplikacji, monitorować logi pod kątem podejrzanych poleceń oraz weryfikować konfigurację mechanizmów bezpieczeństwa. Priorytetowo należy przeprowadzić audyt i wzmocnić kontrolę dostępu do systemów Windows, na których działa podatny komponent.