CRITICAL🇬🇧 English

CVE-2026-4745

Code Injection w perf-ninja (moduł Lua) — podatność krytyczna

CVSS 10.0v4.0pub. 2026-03-24

W projekcie perf-ninja (moduł labs/misc/pgo/lua) odkryto podatność klasy Code Injection (CWE-94), umożliwiającą zdalne wykonanie dowolnego kodu bez jakiegokolwiek uwierzytelnienia. Ocena CVSS 10.0 czyni ją jedną z najpoważniejszych możliwych klas podatności.

Pokaż oryginał (EN)

Improper Control of Generation of Code ('Code Injection') vulnerability in dendibakh perf-ninja (labs/misc/pgo/lua modules). This vulnerability is associated with program files ldo.C. This issue affects perf-ninja.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej kontroli generowania kodu w pliku ldo.C, wchodzącym w skład modułu Lua projektu perf-ninja. Atakujący może dostarczyć specjalnie spreparowane dane wejściowe, które są następnie interpretowane i wykonywane jako kod — bez konieczności posiadania uprawnień ani interakcji ze strony użytkownika. Wektor sieciowy (AV:N) przy braku wymagań uwierzytelnienia (PR:N) i braku złożoności ataku (AC:L) oznacza, że exploit może być przeprowadzony zdalnie i w sposób powtarzalny.

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na pełne przejęcie kontroli nad systemem — włącznie z odczytem i modyfikacją danych oraz destabilizacją usług — zarówno w zakresie bezpośrednio atakowanego komponentu, jak i systemów powiązanych (wysoki wpływ na SC/SI/SA).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — zmiany wprowadzone w ramach pull request #129 w repozytorium https://github.com/dendibakh/perf-ninja/pull/129.

Kogo dotyczy

Projekt perf-ninja autorstwa dendibakh — moduły labs/misc/pgo/lua; konkretne wersje wskazane w referencjach producenta (pull request #129 na GitHub).

Uwagi

Podatność dotyczy projektu open-source perf-ninja (narzędzie edukacyjne do optymalizacji wydajności). Wektor CVSS zawiera znacznik E:A (exploit aktywny), co sugeruje istnienie publicznego exploita — jednak pole CISA KEV wskazuje brak potwierdzenia aktywnej eksploatacji w środowiskach produkcyjnych.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:A/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:N/AU:Y/R:U/V:D/RE:L/U:Amber
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje