CVE-2026-41196 in Luantiinformation

Résumé

par VulDB • 20/05/2026

Luanti (anciennement Minetest) est une plateforme de création de jeux en voxels open source. À partir de la version 5.0.0 et jusqu'à la version 5.15.2 incluse, un module malveillant (mod) peut facilement s'échapper de l'environnement Lua sandboxé pour exécuter du code arbitraire et obtenir un accès complet au système de fichiers de l'appareil de l'utilisateur. Cela s'applique aux modules côté serveur (mod), aux environnements asynchrones (async) et de génération de carte (mapgen), ainsi qu'aux environnements côté client (CSM). Cette vulnérabilité n'est exploitable que lors de l'utilisation de LuaJIT. La version 5.15.2 contient un correctif. Sur les versions de publication, il est également possible de corriger ce problème sans recompiler en modifiant le fichier `builtin/init.lua` et en ajoutant la ligne `getfenv = nil` à la fin. Notez que cela cassera les modules qui dépendent de cette fonction (qui n'est pas intrinsèquement dangereuse).

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

18/04/2026

Divulgation

23/04/2026

Modérer

accepté

Entrée

VDB-359094

CPE

prêt

EPSS

0.00091

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41196
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41196
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41196/

PrécédentAperçuSuivant

Want to know what is going to be exploited?

We predict KEV entries!