Критична вразливість RCE в aperisolve дозволяє повний контроль над контейнером

Вразливість CVE-2026-34977 в aperisolve дозволяє виконання коду з правами root у контейнері. Оновіть до версії 3.2.1 для захисту.
CVE-2026-34977CVSS 9.3Containers

Критична вразливість RCE в aperisolve дозволяє повний контроль над контейнером

Вразливість CVE-2026-34977 в aperisolve дозволяє виконання коду з правами root у контейнері. Оновіть до версії 3.2.1 для захисту.

CVSS
9.3 CRITICAL
EPSS
51.28%
Активно використовується
немає в KEV
Продукт
aperisolve

Що відомо

У aperisolve версій 3.1.3–3.2.0 виявлено критичну вразливість, що дозволяє неавторизованому атакуючому виконати код з правами root у контейнері через необроблений параметр пароля при завантаженні JPEG. Це відкриває доступ до всіх користувацьких даних і може призвести до компрометації бази даних і хоста.

Бізнес-вплив

Для операторів ІТ та власників інфраструктури ця вразливість означає високий ризик повного контролю над контейнером, доступу до конфіденційних даних та можливого поширення атаки на бази даних і інші сервіси в Docker-мережі. Якщо присутні монтування Docker socket або томи хоста, можливе повне захоплення сервера, що загрожує безпеці всього середовища.

Рекомендовані дії адміністратора

Рекомендується негайно оновити aperisolve до версії 3.2.1 або новішої. Якщо оновлення неможливе, слід обмежити доступ до сервісу, перевірити журнали на ознаки компрометації, ізолювати контейнер від баз даних і інших сервісів, а також переглянути політики монтування томів і Docker socket. Важливо також провести аудит безпеки та моніторинг мережевого трафіку.

Джерела