Krytyczna luka w Lumiverse umożliwiająca zdalne wykonanie kodu na poziomie systemu

Krytyczna luka w Lumiverse umożliwia zdalne wykonanie kodu na serwerze. Zalecana natychmiastowa aktualizacja do wersji 0.9.7.
CVE-2026-44450CVSS 9.9DNS

Krytyczna luka w Lumiverse umożliwiająca zdalne wykonanie kodu na poziomie systemu

Krytyczna luka w Lumiverse umożliwia zdalne wykonanie kodu na serwerze. Zalecana natychmiastowa aktualizacja do wersji 0.9.7.

CVSS
9.9 CRITICAL
EPSS
29.65%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W aplikacji Lumiverse do wersji 0.9.6 włącznie wykryto krytyczną lukę pozwalającą zalogowanym użytkownikom na wykonanie dowolnego kodu systemowego poprzez endpoint tworzenia serwera MCP. Luka wynika z braku walidacji argumentów przekazywanych do procesów potomnych oraz obejścia kontroli nagłówka Host, co umożliwia atak z dowolnej maszyny mającej dostęp do portu serwera.

Wpływ biznesowy

Atakujący z dostępem sieciowym do serwera Lumiverse mogą uzyskać pełną kontrolę nad systemem operacyjnym serwera, co stwarza poważne ryzyko dla integralności i dostępności usług. Luka ta może prowadzić do kradzieży danych, zakłócenia działania aplikacji oraz dalszej eskalacji ataków w infrastrukturze IT. Operatorzy powinni traktować tę podatność jako krytyczną i priorytetowo ją zaadresować.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie aplikacji Lumiverse do wersji 0.9.7 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, ograniczyć dostęp do portu serwera tylko do zaufanych sieci, monitorować logi pod kątem podejrzanych aktywności oraz przeprowadzić przegląd konfiguracji zabezpieczeń. Warto również zweryfikować uprawnienia użytkowników i stosować zasadę najmniejszych uprawnień.

Źródła