Krytyczna luka w openc3 COSMOS umożliwiająca eskalację uprawnień w kontenerach

Krytyczna luka w openc3 COSMOS pozwala na eskalację uprawnień i dostęp do danych w kontenerach. Zalecana aktualizacja do wersji 7.0.0-rc3.
CVE-2026-42088CVSS 9.6Containers

Krytyczna luka w openc3 COSMOS umożliwiająca eskalację uprawnień w kontenerach

Krytyczna luka w openc3 COSMOS pozwala na eskalację uprawnień i dostęp do danych w kontenerach. Zalecana aktualizacja do wersji 7.0.0-rc3.

CVSS
9.6 CRITICAL
EPSS
26.1%
Aktywnie wykorzystywana
brak w KEV
Produkt
cosmos

Co wiadomo

W openc3 COSMOS przed wersją 7.0.0-rc3 widget Script Runner pozwalał na wykonanie złośliwych skryptów Python i Ruby, które omijały kontrolę uprawnień API. Umożliwiało to nieautoryzowany dostęp do bazy Redis oraz modyfikację ustawień COSMOS i plików konfiguracyjnych.

Wpływ biznesowy

Luka ta pozwala użytkownikom z uprawnieniami do uruchamiania skryptów na eskalację do poziomu administratora, co może skutkować wyciekiem poufnych danych, zmianą konfiguracji systemu oraz potencjalnym zakłóceniem działania usług. Zagrożenie jest szczególnie istotne w środowiskach korzystających z kontenerów Docker, gdzie wszystkie kontenery współdzielą sieć.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie openc3 COSMOS do wersji 7.0.0-rc3 lub nowszej, w której luka została załatana. W międzyczasie warto ograniczyć uprawnienia do uruchamiania skryptów, monitorować logi pod kątem podejrzanej aktywności oraz przeglądać konfigurację sieci kontenerów w celu minimalizacji ryzyka nieautoryzowanego dostępu.

Źródła