CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-10042

Critical
Published: Translated: NVD NIST

Summary

manga-image-translator zawiera podatność na zdalne wykonanie kodu w trybie serwera API z powodu niebezpiecznej deserializacji nieufnych danych pickle w module share.py. Punkty końcowe /execute/{method_name} i /simple_execute/{method_name} deserializują dane z kontrolowanych przez atakującego ciał żądań HTTP przy użyciu pickle.loads().

Risk Assessment

Zdalny atakujący może dostarczyć spreparowany ładunek pickle do tych punktów końcowych, co pozwala na wykonanie dowolnego kodu w procesie serwera, prowadząc do pełnego kompromitacji kontenera, gdy działa on w domyślnym wdrożeniu Docker jako root.

Recommendation

Zaleca się unikanie używania deserializacji danych pickle z niezaufanych źródeł oraz wdrożenie odpowiednich zabezpieczeń, aby ograniczyć dostęp do punktów końcowych API.

Original NVD description (English source)

manga-image-translator contains a remote code execution vulnerability in the shared API server mode due to unsafe deserialization of untrusted pickle data in the share.py module, where the /execute/{method_name} and /simple_execute/{method_name} endpoints deserialize attacker-controlled HTTP request bodies using pickle.loads(). A remote attacker can supply a crafted pickle payload to these endpoints to execute arbitrary code in the server process, resulting in full container compromise when running in the default Docker deployment as root.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS