Критическая уязвимость Grist-Core позволяет выполнять удаленный код через формулы электронных таблиц

Внимание, техническое сообщество — ваши электронные таблицы только что стали оружием. Критическая уязвимость в Grist-Core (CVE-2026-24002, CVSS 9.1) позволяет злоумышленникам выполнять удаленный код через вредоносные формулы. Да, вы правильно прочитали: простая ячейка электронной таблицы теперь может стать бэкдором.

Уязвимость активируется при включенной песочнице Pyodide — именно той функции, которая должна была обеспечить безопасность. Вместо этого она становится вектором атаки. Это не просто теоретическая возможность; это полноценная уязвимость удаленного выполнения кода (RCE), которая может позволить злоумышленникам захватить вашу систему.

Grist-Core — это платформа электронных таблиц и баз данных с открытым исходным кодом, и эта уязвимость затрагивает все развертывания, использующие Pyodide для выполнения формул. Побег из песочницы позволяет злоумышленникам обходить средства контроля безопасности и запускать произвольный код в хост-системе.

Это классический случай, когда функции безопасности дают обратный эффект. Pyodide, который запускает Python в браузере через WebAssembly, должен был изолировать выполнение формул. Вместо этого он стал слабым звеном, которое позволяет использовать эксплойт.

Если вы используете Grist-Core в своей инфраструктуре, вам необходимо немедленно установить патч. Уязвимость уже стала публичной, что означает, что эксплойт-код может появиться в любой момент. Речь идет не только об утечке данных — это полный компромисс системы.

Исправление включает обновление до последней версии Grist-Core, которая устраняет побег из песочницы. Не ждите атаки — установите патч сейчас. Электронные таблицы должны вычислять числа, а не выполнять команды оболочки.