Kritična ranjivost u Lawnchair aplikaciji omogućava izvršavanje proizvoljnog koda
Ranjivost u Lawnchair aplikaciji dozvoljava izvršavanje koda preko nekvotiranog ulaza u radnom toku.
Šta se desilo?
Otkrivena je ranjivost u Lawnchair-u, open-source Android aplikaciji za početni ekran, koja omogućava napadačima da izvrše proizvoljni kod. Problem leži u nekvotiranom ulazu u radnom toku release_update.yml, što dovodi do injection napada. Razvojni tim je obavio ispravku kroz commit fcba413f55dd47f8a3921445252849126c6266b2.
Koga pogađa?
Ranjivost pogađa korisnike i održavaoce Lawnchair aplikacije, posebno one koji koriste verzije pre patcha. Napadači bi teoretski mogli iskoristiti ovu grešku u automatizovanom procesu razvoja kako bi ubacili zloćudan kod.
Kako se zaštititi?
- Ažurirajte Lawnchair na najnoviju verziju koja uključuje sigurnosnu ispravku
- Proverite da li ste koristili aplikaciju iz nesigurnog izvora i razmislite o ponovnoj instalaciji
- Redovno pratite anonse bezbednosti za Android aplikacije koje koristite
- Ograničite dozvole aplikacijama samo na one koje su zaista potrebne
Tehnički detalji
CVE identifikator: CVE-2026-39866. Ranjivost je klasifikovana sa CVSS skorom 7.4 kao VISOKO kritična. Problem je lociran u command injection vektoru kroz unquoted workflow dispatch input parametar u GitHub Actions radnom toku. Patch je dostupan pod commit identifikatorom fcba413f55dd47f8a3921445252849126c6266b2.
Preporuka Sajber Radara
Korisnicima Lawnchair aplikacije preporučujemo hitnu instalaciju ažuriranja koje sadrži sigurnosnu ispravku. Održavaoci open-source projekata trebaju da obezbede da svi spoljašnji ulazi u automation skriptama budu pravilno kvotirani i validovani.