CRITICAL🇬🇧 English

CVE-2026-30121

Podatność arbitrary file write w remotion-dev remotion v4.0.409

CVSS 9.1pub. 2026-06-15upd. 2026-06-16

W bibliotece remotion w wersji v4.0.409 odkryto podatność umożliwiającą zapis dowolnych plików na serwerze. Luka jest krytyczna, ponieważ atakujący bez uwierzytelnienia może nadpisywać lub tworzyć pliki w systemie plików serwera.

Pokaż oryginał (EN)

remotion-dev remotion v4.0.409 was discovered to contain an arbitrary file write vulnerability.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-123 (Write-what-where Condition) polega na braku odpowiedniej walidacji ścieżek lub danych wejściowych podczas operacji zapisu pliku. Atakujący może dostarczyć spreparowane dane wejściowe, które skutkują zapisem treści pod kontrolowaną przez niego ścieżkę w systemie plików. Operacja ta jest możliwa zdalnie, bez uwierzytelnienia i bez interakcji ze strony użytkownika.

Skutki

Atakujący może nadpisać krytyczne pliki systemowe lub aplikacyjne, co może prowadzić do naruszenia integralności systemu, wykonania złośliwego kodu (np. poprzez podłożenie skryptów startowych lub konfiguracji) bądź trwałego uszkodzenia aplikacji (denial of service).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie repozytorium projektu pod adresem wskazanym w referencjach oraz aktualizację do wersji pozbawionej podatności niezwłocznie po jej udostępnieniu.

Kogo dotyczy

remotion-dev remotion w wersji v4.0.409

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje