Krytyczna luka w paperclipai umożliwiająca zdalne wykonanie kodu
Krytyczna luka w paperclipai umożliwia zdalne wykonanie kodu bez uwierzytelnienia. Zalecana szybka aktualizacja do wersji 2026.416.0.
- CVSS
- 10.0 CRITICAL
- EPSS
- 78.02%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- paperclipai
Co wiadomo
Paperclip to serwer Node.js z interfejsem React, który zarządza zespołem agentów AI. W wersjach przed 2026.416.0 nieautoryzowany atakujący może zdalnie wykonać dowolny kod na instancji Paperclip działającej w trybie uwierzytelnionym z domyślną konfiguracją, bez interakcji użytkownika i bez danych uwierzytelniających.
Wpływ biznesowy
Luka o krytycznym poziomie CVSS 10.0 pozwala na pełne przejęcie kontroli nad serwerem Paperclip, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych. Atak jest w pełni zautomatyzowany i działa na domyślnych ustawieniach, co zwiększa ryzyko dla organizacji korzystających z tego oprogramowania.
Rekomendowane działania administratora
Zaleca się niezwłoczne przejrzenie i wdrożenie aktualizacji do wersji 2026.416.0 lub nowszej udostępnionej przez producenta. W międzyczasie warto ograniczyć dostęp do instancji Paperclip tylko do zaufanych sieci, monitorować logi pod kątem podejrzanej aktywności oraz priorytetyzować działania zabezpieczające w infrastrukturze.