CVE-2026-25244: Уразливість командної ін’єкції у WebdriverIO
Уразливість CVE-2026-25244 у WebdriverIO дозволяє віддалене виконання коду. Оновіть до версії 9.24.0 для захисту CI/CD та розробницьких систем.
- CVSS
- 9.8 CRITICAL
- EPSS
- 84.73%
- Активно використовується
- немає в KEV
- Продукт
- webdriverio
Що відомо
WebdriverIO до версії 9.24.0 містить критичну уразливість командної ін’єкції, що дозволяє віддалене виконання коду через небезпечну обробку імен гілок Git. Зловмисник може використати шкідливий репозиторій з небезпечним ім’ям гілки для запуску довільних команд на CI/CD серверах або робочих машинах розробників.
Бізнес-вплив
Ця уразливість може призвести до компрометації систем, викрадення облікових даних, секретів, вихідного коду та SSH-ключів. Вона створює ризики для безпеки ланцюга постачання через можливість підміни артефактів збірки. Власники інфраструктури та ІТ-оператори повинні розглядати цю загрозу як критичну через високий рівень потенційних збитків.
Рекомендовані дії адміністратора
Рекомендується оновити WebdriverIO до версії 9.24.0 або новішої, де уразливість виправлена. Якщо оновлення неможливе, слід обмежити використання ненадійних репозиторіїв, перевіряти імена гілок на наявність небезпечних символів, а також посилити моніторинг логів і контроль доступу на CI/CD серверах. Важливо провести аудит використання WebdriverIO у середовищі та пріоритезувати виправлення цієї уразливості.