Krytyczna luka w paperclipai umożliwiająca zdalne wykonanie kodu

Krytyczna luka w paperclipai umożliwia zdalne wykonanie kodu bez uwierzytelnienia. Zalecana szybka aktualizacja do wersji 2026.416.0.
CVE-2026-41679CVSS 10.0Runtime

Krytyczna luka w paperclipai umożliwiająca zdalne wykonanie kodu

Krytyczna luka w paperclipai umożliwia zdalne wykonanie kodu bez uwierzytelnienia. Zalecana szybka aktualizacja do wersji 2026.416.0.

CVSS
10.0 CRITICAL
EPSS
78.02%
Aktywnie wykorzystywana
brak w KEV
Produkt
paperclipai

Co wiadomo

Paperclip to serwer Node.js z interfejsem React, który zarządza zespołem agentów AI. W wersjach przed 2026.416.0 nieautoryzowany atakujący może zdalnie wykonać dowolny kod na instancji Paperclip działającej w trybie uwierzytelnionym z domyślną konfiguracją, bez interakcji użytkownika i bez danych uwierzytelniających.

Wpływ biznesowy

Luka o krytycznym poziomie CVSS 10.0 pozwala na pełne przejęcie kontroli nad serwerem Paperclip, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych. Atak jest w pełni zautomatyzowany i działa na domyślnych ustawieniach, co zwiększa ryzyko dla organizacji korzystających z tego oprogramowania.

Rekomendowane działania administratora

Zaleca się niezwłoczne przejrzenie i wdrożenie aktualizacji do wersji 2026.416.0 lub nowszej udostępnionej przez producenta. W międzyczasie warto ograniczyć dostęp do instancji Paperclip tylko do zaufanych sieci, monitorować logi pod kątem podejrzanej aktywności oraz priorytetyzować działania zabezpieczające w infrastrukturze.

Źródła