Критична вразливість в Quest Bot дозволяє атакувати виробниче середовище

Вразливість у Quest Bot дозволяє запускати шкідливі контейнери через pull request. Оновіть до версії 1.0.3 для захисту виробничого середовища.
CVE-2026-47172CVSS 9.5Containers

Критична вразливість в Quest Bot дозволяє атакувати виробниче середовище

Вразливість у Quest Bot дозволяє запускати шкідливі контейнери через pull request. Оновіть до версії 1.0.3 для захисту виробничого середовища.

CVSS
9.5 CRITICAL
EPSS
24.24%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У Quest Bot до версії 1.0.3 існувала вразливість, що дозволяла зловмисникам через pull request з гілкою main запускати привілейований деплой, створюючи шкідливий контейнер. Це могло призвести до компрометації виробничого бота. Проблему виправлено у версії 1.0.3.

Бізнес-вплив

Для власників інфраструктури, що використовує Quest Bot, ця вразливість становить серйозну загрозу, оскільки дозволяє зловмисникам запускати шкідливий код у виробничому середовищі. Це може призвести до порушення цілісності сервісу, втрати контролю над ботом та потенційних подальших атак у мережі. Вчасне оновлення є критично важливим для забезпечення безпеки.

Рекомендовані дії адміністратора

Адміністраторам рекомендується негайно оновити Quest Bot до версії 1.0.3 або новішої, перевірити налаштування CI/CD для запобігання запуску деплойментів з неперевірених pull request, обмежити права на деплой та переглянути логи на предмет підозрілої активності. Також слід впровадити політики контролю гілок у репозиторії.

Джерела