CVE-2026-42088

Nome do Software Vulnerável e Versões Afetadas OpenC3 COSMOS versões anteriores a 7.0.0-rc3

Descrição O widget Script Runner permite que usuários executem scripts Python e Ruby diretamente do contêiner 'openc3-COSMOS-script-runner-api'. Como todos os contêineres Docker compartilham uma rede, usuários podem executar scripts especialmente criados para ignorar a verificação de permissões da API e realizar ações administrativas. Isso inclui a leitura e modificação de dados no banco de dados Redis para acessar segredos e alterar configurações, bem como a leitura e escrita no serviço de buckets que armazena arquivos de configuração, logs e plugins. Essas capacidades são normalmente restritas ao Console de Administração ou a usuários com privilégios administrativos. Qualquer usuário com permissão para criar e executar scripts pode se conectar a qualquer serviço na rede Docker.

Recomendações Atualizar para a versão 7.0.0-rc3.