Krytyczna luka w Boxlite umożliwiająca zdalne wykonanie kodu przez złośliwe obrazy OCI

Luka w Boxlite do wersji 0.9.0 pozwalała na zdalne wykonanie kodu przez złośliwe obrazy OCI. Zalecana aktualizacja do wersji 0.9.0 i nowszych.
CVE-2026-46703CVSS 9.6Containers

Krytyczna luka w Boxlite umożliwiająca zdalne wykonanie kodu przez złośliwe obrazy OCI

Luka w Boxlite do wersji 0.9.0 pozwalała na zdalne wykonanie kodu przez złośliwe obrazy OCI. Zalecana aktualizacja do wersji 0.9.0 i nowszych.

CVSS
9.6 CRITICAL
EPSS
38.09%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Boxlite do wersji 0.9.0 pozwalał na wykorzystanie złośliwych obrazów OCI z symlinkami do ścieżek absolutnych, co umożliwiało atakującemu zapis dowolnych danych na hoście i potencjalne zdalne wykonanie kodu. Luka została załatana w wersji 0.9.0.

Wpływ biznesowy

Operatorzy środowisk korzystających z Boxlite powinni być świadomi, że przed wersją 0.9.0 istniało ryzyko wykorzystania złośliwych obrazów OCI do przejęcia kontroli nad hostem. Atakujący mogą rozprzestrzeniać złośliwe obrazy na platformach takich jak DockerHub, co stwarza poważne zagrożenie dla bezpieczeństwa infrastruktury kontenerowej.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie Boxlite do wersji 0.9.0 lub nowszej. W przypadku niemożności aktualizacji, należy ograniczyć zaufanie do źródeł obrazów OCI, monitorować logi pod kątem podejrzanej aktywności oraz stosować zasady minimalizacji uprawnień i izolacji kontenerów.

Źródła