Krytyczna podatność w narzędziu Terrarium od Cohere AI, śledzona jako CVE-2026-5752, umożliwia atakującemu wykonanie kodu z uprawnieniami roota wewnątrz kontenera poprzez wykorzystanie traversalu łańcucha prototypów JavaScript w środowisku Pyodide. Skuteczne wykorzystanie tej luki pozwala na ucieczkę z piaskownicy, dostęp do wrażliwych plików i potencjalnie dalsze eskalacje uprawnień, przy czym atak wymaga lokalnego dostępu, ale nie interakcji użytkownika. Ze względu na brak aktywnego utrzymania projektu, łatka jest mało prawdopodobna, a zalecane środki zaradcze obejmują wyłączenie funkcji podsyłania kodu, segmentację sieci, użycie WAF i monitorowanie aktywności kontenera.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)