Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-30352 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-04-27 |
| Producent | leonvanzyl |
| Produkt | autocoder |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Podatność zdalnego wykonania kodu (RCE) w endpointcie
/devserver/startprojektu leonvanzyl/autocoder (commit 79d02a) pozwala atakującym na wykonanie dowolnego kodu poprzez dostarczenie spreparowanego parametrucommand. Brak walidacji i sanityzacji wejścia umożliwia uruchomienie poleceń systemowych w kontekście procesu uruchamiającego serwer deweloperski.
Wymagane działania
Niezwłocznie zaktualizuj projekt leonvanzyl/autocoder do najnowszej wersji zawierającej poprawkę bezpieczeństwa. Do czasu udostępnienia patcha nie wystawiaj endpointu /devserver/start na publiczne sieci – uruchamiaj autocoder wyłącznie lokalnie (binding na 127.0.0.1) lub w izolowanym środowisku z ograniczeniami sieciowymi. Przejrzyj logi pod kątem nietypowych żądań do /devserver/start z parametrem command.
Kogo dotyczy?
Podatność dotyczy projektu autocoder autora leonvanzyl w commicie 79d02a. Sprawdź czy Twoja organizacja wdrożyła to narzędzie deweloperskie (AI code generation) oraz czy jego endpointy są dostępne sieciowo, i niezwłocznie ogranicz ekspozycję.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
