Šta se desilo?

Otkrivena je kritična sigurnosna ranjivost u Neko sistemu - samohostovanom virtuelnom pregledniku koji radi u Docker okruženju. Ugrešaka omogućava bilo kom prijavljenom korisniku da odmah pristupi svim administrativnim funkcijama celog Neko instancijala, bez obzira na njegovu uloga. Napadi mogu preuzeti kontrolu nad upravljanjem korisnicima, podešavanjima soba, kontrolom emitovanja i prekidom sesija.

Koga pogađa?

Pogođene su organizacije i pojedinci koji koriste Neko verzije od 3.0.0 do 3.0.10 i verzije od 3.1.0 do 3.1.1. Rizik je najveći za one koji su instancijalu pristupa omogućili većem broju korisnika ili nepouzdanim stranama, jer svaki prijavljeni korisnik može izvršiti eskalaciju privilegija.

Kako se zaštititi?

  • Hitno ažurirajte Neko na verziju 3.0.11 ili 3.1.2 ili novije
  • Do ažuriranja, ograničite pristup samo na pouzdane korisnike
  • Osigurajte da su sve lozinke korisnika jake i deljene samo sa poverljivim osobama
  • Pokrenite instancijal samo kada je potreban - izbjegavajte neprekidnu dostupnost
  • Postavite dodatne slojeve autentifikacije pred instancijalom (reverse proxy sa pristupnim kontrolama)
  • Onemogućite ili ograničite pristup /api/profile krajnjoj tački ako je moguće
  • Pažljivo pratite bilo kakve neobične promene u privilegijama ili neočekivane administrativne akcije

Tehnički detalji

CVE-2026-39386 ima CVSS rezultat od 8.8 (HIGH). Ranjivost utiče na sve autentifikovane korisnike koji mogu da izvrše eskalaciju privilegija kroz nedostajuće kontrole pristupa. Patch je dostupan u verzijama 3.0.11 i 3.1.2.

Preporuka Sajber Radara

Ako koristite Neko, odmah primenite ažuriranje na bezbednu verziju. Privremene mere mogu smanjiti rizik, ali ne otklanjaju potpuno ranjivost - ažuriranje je jedina efikasna zaštita.