Grist-Core'дун сындуулугу электрондук таблицалардын формулалары аркылуу RCE чабуулдарына жол берет

Көңүл бур, техникалык коомчулук — сиздин электрондук таблицаларыңыз жаңы эле куралга айланды. Grist-Core'догу сындуулук (CVE-2026-24002, CVSS 9.1) кол салуучуларга зыяндуу формулалар аркылуу алыскы кодду аткарууга мүмкүндүк берет. Ооба, сиз туура окудуңуз: жөнөкөй электрондук таблицанын уячасы азыр арткы эшикке айланышы мүмкүн.

Бул сындуулук Pyodide кумдугу иштетилгенде активдешет — так сизди коопсуз кылуу үчүн керек болгон функция. Анын ордуна ал чабуул векторуна айланат. Бул жөн гана теориялык эмес; бул жаман аракетчилерге системаңызды басып алууга мүмкүндүк берген толук RCE (Алыскы Кодду Аткаруу) сындуулугу.

Grist-Core — бул ачык булактуу электрондук таблицалар жана маалымат базасы платформасы, жана бул сындуулук Pyodide'ди формулаларды аткаруу үчүн колдонгон бардык орнотууларды таасирдейт. Кумдуктан качуу кол салуучуларга коопсуздук контролдорун айланып өтүүгө жана хост-системада эркин кодду иштетүүгө мүмкүндүк берет.

Бул коопсуздук функцияларынын тескери таасиринин классикалык учур. Pyodide, ал WebAssembly аркылуу браузерде Python иштетет, формулалардын аткарылышын бөлүп коюуга тийиш болчу. Анын ордуна ал эксплойтту иштетүүгө мүмкүндүк берген алсыз шилтеме болуп калды.

Эгер сиз Grist-Core'ду өзүңүздүн стектеңизде иштетсеңиз, сиз буга дароо түзөтүү киргизишиңиз керек. Сындуулук буга чейин эле жарыяланды, демек эксплойт-код каалаган учурда түшүшү мүмкүн. Бул жөн гана маалыматтын ачылышы жөнүндө гана эмес — бул системанын толук компромисси жөнүндө.

Түзөтүү кумдуктан качууну чечкен акыркы Grist-Core версиясына жаңыртууну камтыйт. Чабуулду күтпөңүз — азыр түзөтүңүз. Электрондук таблицалар сандарды эсептеши керек, эмес shell командаларын аткарышы.