Biblioteka naukowa rssn dla języka Rust zawiera podatność w silniku JIT (Just-In-Time), który jest w pełni eksponowany przez interfejs CFFI. Umożliwia to atakującemu wykonanie dowolnego kodu (Arbitrary Code Execution) z poziomem uprawnień procesu hosta.
▸ Pokaż oryginał (EN)
rssn is a scientific computing library for Rust, combining a high-performance symbolic computation engine with numerical methods support and physics simulations functionalities. The vulnerability exists in the JIT (Just-In-Time) compilation engine, which is fully exposed via the CFFI (Foreign Function Interface). Due to Improper Input Validation and External Control of Code Generation, an attacker can supply malicious parameters or instruction sequences through the CFFI layer. Since the library often operates with elevated privileges or within high-performance computing contexts, this allows for Arbitrary Code Execution (ACE) at the privilege level of the host process.
Silnik JIT kompilacji jest dostępny bezpośrednio przez warstwę CFFI (Foreign Function Interface) bez odpowiedniej walidacji danych wejściowych. Atakujący może dostarczyć złośliwe parametry lub sekwencje instrukcji przez interfejs CFFI, które zostają przekazane do mechanizmu generowania kodu bez właściwej kontroli. Ze względu na nieprawidłową walidację wejścia (CWE-94, CWE-695, CWE-754) oraz brak ograniczeń uprawnień (CWE-269), złośliwy kod zostaje wykonany w kontekście procesu biblioteki.
Atakujący może wykonać dowolny kod (ACE) z poziomem uprawnień procesu hosta, co — biorąc pod uwagę, że biblioteka często działa z podwyższonymi uprawnieniami lub w środowiskach HPC — może prowadzić do pełnego przejęcia kontroli nad systemem oraz naruszenia integralności, poufności i dostępności zasobów.
Należy zaktualizować bibliotekę rssn do wersji v0.2.9 lub nowszej, dostępnej pod adresem: https://github.com/Apich-Organization/rssn/releases/tag/v0.2.9. Szczegóły poprawki opisane są w advisory GHSA-9c4h-pwmf-m6fj oraz RUSTSEC-2026-0038.
Biblioteka rssn dla języka Rust — wersje poprzedzające v0.2.9 (zgodnie z referencjami producenta)
Podatność zgłoszona w ramach GitHub Security Advisory (GHSA-9c4h-pwmf-m6fj) oraz zarejestrowana w bazie RustSec (RUSTSEC-2026-0038). Wektor ataku lokalny (AV:L), jednak brak wymagań dotyczących uprawnień (PR:N) i interakcji użytkownika (UI:N) zwiększa ryzyko w środowiskach HPC i obliczeniowych korzystających z CFFI.
CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X