CVE-2026-25873
KrytyczneStreszczenie
OmniGen2-RL zawiera podatność na zdalne wykonanie kodu bez uwierzytelnienia w komponencie serwera nagród, która pozwala zdalnym atakującym na wykonywanie dowolnych poleceń poprzez wysyłanie złośliwych żądań HTTP POST. Atakujący mogą wykorzystać niebezpieczną deserializację obiektów pickle w ciałach żądań, aby osiągnąć wykonanie kodu na systemie gospodarza uruchamiającym narażoną usługę.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym zdalne przejęcie kontroli nad systemem, co może prowadzić do utraty danych lub kompromitacji systemu. Wykorzystanie tej luki może skutkować poważnymi konsekwencjami finansowymi i reputacyjnymi.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie OmniGen2-RL do najnowszej wersji, która usuwa tę podatność. Dodatkowo, warto wprowadzić zabezpieczenia, takie jak filtrowanie i walidacja danych wejściowych oraz ograniczenie dostępu do serwera nagród.
Oryginalny opis (angielski, źródło NVD)
OmniGen2-RL contains an unauthenticated remote code execution vulnerability in the reward server component that allows remote attackers to execute arbitrary commands by sending malicious HTTP POST requests. Attackers can exploit insecure pickle deserialization of request bodies to achieve code execution on the host system running the exposed service.

