Критична вразливість у OpenC3 COSMOS дозволяє обхід перевірки прав доступу

Вразливість у OpenC3 COSMOS дозволяє обійти перевірку прав та виконувати адміністративні дії. Оновіть до версії 7.0.0-rc3 для захисту.
CVE-2026-42088CVSS 9.6Containers

Критична вразливість у OpenC3 COSMOS дозволяє обхід перевірки прав доступу

Вразливість у OpenC3 COSMOS дозволяє обійти перевірку прав та виконувати адміністративні дії. Оновіть до версії 7.0.0-rc3 для захисту.

CVSS
9.6 CRITICAL
EPSS
26.1%
Активно використовується
немає в KEV
Продукт
cosmos

Що відомо

У OpenC3 COSMOS до версії 7.0.0-rc3 віджет Script Runner дозволяв виконувати Python та Ruby скрипти з контейнера openc3-COSMOS-script-runner-api. Через спільну мережу Docker-контейнерів зловмисники могли обійти перевірку прав API та виконувати адміністративні дії, включно з читанням і зміною даних у Redis та доступом до конфігураційних файлів.

Бізнес-вплив

Ця вразливість може призвести до компрометації налаштувань COSMOS, викрадення секретів та зміни конфігураційних, лог-файлів і плагінів. Для операторів ІТ та власників інфраструктури це означає підвищений ризик несанкціонованого доступу та потенційних збоїв у роботі системи. Вразливість має критичний рівень небезпеки з CVSS 9.6.

Рекомендовані дії адміністратора

Рекомендується терміново оновити OpenC3 COSMOS до версії 7.0.0-rc3 або новішої, де ця вразливість виправлена. Якщо оновлення наразі неможливе, слід обмежити права користувачів на створення та запуск скриптів, перевірити журнали на підозрілі дії та ізолювати Docker-контейнери для мінімізації мережевого доступу між ними.

Джерела