Krytyczna luka w Lumiverse umożliwiająca zdalne wykonanie kodu na poziomie systemu
Krytyczna luka w Lumiverse umożliwia zdalne wykonanie kodu na serwerze. Zalecana natychmiastowa aktualizacja do wersji 0.9.7.
- CVSS
- 9.9 CRITICAL
- EPSS
- 29.65%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
W aplikacji Lumiverse do wersji 0.9.6 włącznie wykryto krytyczną lukę pozwalającą zalogowanym użytkownikom na wykonanie dowolnego kodu systemowego poprzez endpoint tworzenia serwera MCP. Luka wynika z braku walidacji argumentów przekazywanych do procesów potomnych oraz obejścia kontroli nagłówka Host, co umożliwia atak z dowolnej maszyny mającej dostęp do portu serwera.
Wpływ biznesowy
Atakujący z dostępem sieciowym do serwera Lumiverse mogą uzyskać pełną kontrolę nad systemem operacyjnym serwera, co stwarza poważne ryzyko dla integralności i dostępności usług. Luka ta może prowadzić do kradzieży danych, zakłócenia działania aplikacji oraz dalszej eskalacji ataków w infrastrukturze IT. Operatorzy powinni traktować tę podatność jako krytyczną i priorytetowo ją zaadresować.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie aplikacji Lumiverse do wersji 0.9.7 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, ograniczyć dostęp do portu serwera tylko do zaufanych sieci, monitorować logi pod kątem podejrzanych aktywności oraz przeprowadzić przegląd konfiguracji zabezpieczeń. Warto również zweryfikować uprawnienia użytkowników i stosować zasadę najmniejszych uprawnień.