Критична вразливість RCE в aperisolve дозволяє повний контроль над контейнером
Вразливість CVE-2026-34977 в aperisolve дозволяє виконання коду з правами root у контейнері. Оновіть до версії 3.2.1 для захисту.
- CVSS
- 9.3 CRITICAL
- EPSS
- 51.28%
- Активно використовується
- немає в KEV
- Продукт
- aperisolve
Що відомо
У aperisolve версій 3.1.3–3.2.0 виявлено критичну вразливість, що дозволяє неавторизованому атакуючому виконати код з правами root у контейнері через необроблений параметр пароля при завантаженні JPEG. Це відкриває доступ до всіх користувацьких даних і може призвести до компрометації бази даних і хоста.
Бізнес-вплив
Для операторів ІТ та власників інфраструктури ця вразливість означає високий ризик повного контролю над контейнером, доступу до конфіденційних даних та можливого поширення атаки на бази даних і інші сервіси в Docker-мережі. Якщо присутні монтування Docker socket або томи хоста, можливе повне захоплення сервера, що загрожує безпеці всього середовища.
Рекомендовані дії адміністратора
Рекомендується негайно оновити aperisolve до версії 3.2.1 або новішої. Якщо оновлення неможливе, слід обмежити доступ до сервісу, перевірити журнали на ознаки компрометації, ізолювати контейнер від баз даних і інших сервісів, а також переглянути політики монтування томів і Docker socket. Важливо також провести аудит безпеки та моніторинг мережевого трафіку.