Критична вразливість RCE в manga-image-translator через небезпечну десеріалізацію
Критична вразливість віддаленого виконання коду в manga-image-translator через небезпечну десеріалізацію pickle-даних. Рекомендовано оновлення та обмеження доступу.
- CVSS
- 9.2 CRITICAL
- EPSS
- 45.45%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
У manga-image-translator виявлено критичну вразливість віддаленого виконання коду (RCE) через небезпечну десеріалізацію неперевірених pickle-даних у модулі share.py. Зловмисник може надіслати спеціально сформований запит до API, що призведе до виконання довільного коду на сервері.
Бізнес-вплив
Ця вразливість дозволяє віддаленому атакуючому отримати повний контроль над контейнером, особливо якщо застосунок запущено у Docker з правами root. Це створює серйозну загрозу для безпеки інфраструктури, оскільки може призвести до компрометації серверів та витоку даних.
Рекомендовані дії адміністратора
Рекомендується негайно перевірити наявність оновлень від постачальника manga-image-translator та застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до вразливих API-ендпоінтів, переглянути журнали на предмет підозрілої активності та розглянути ізоляцію контейнерів. Пріоритетно оцінити ризики та впровадити додаткові заходи безпеки.