В программном обеспечении Grist-Core, представляющем собой open-source версию реляционной базы данных с интерфейсом электронных таблиц для самостоятельного хостинга, обнаружена серьезная уязвимость безопасности. Проблеме присвоено кодовое имя Cellbreak и идентификатор CVE-2026-24002. Степень угрозы оценивается как критическая: по шкале CVSS уязвимость получила 9.1 балла. Эксплойт классифицируется как удаленное выполнение кода (Remote Code Execution, RCE), а вектором атаки служат вредоносные формулы, внедренные в ячейки таблиц.
Техническая суть проблемы кроется в возможности побега из песочницы (sandbox escape). Grist использует дистрибутив Python под названием Pyodide для запуска пользовательских формул внутри среды WebAssembly (WASM) непосредственно в браузере. Архитектурная ошибка заключалась в том, что система безопасности полагалась на метод «черных списков», который оказался недостаточным для полноценной защиты от изощренных манипуляций.
Механизм атаки использует особенности языка Python. Уязвимость позволяла злоумышленникам перемещаться по иерархии классов Python, при этом оставляя доступной библиотеку
Последствия успешной эксплуатации Cellbreak крайне серьезны. Атакующий получает возможность выполнять произвольные команды операционной системы или запускать JavaScript на уровне хост-среды. Триггером для активации вредоносного кода служит открытие пользователем скомпрометированного документа в системе, где переменная конфигурации
В список потенциального ущерба входит запуск произвольных процессов на сервере хостинга и несанкционированный доступ к файловой системе. Злоумышленники могут завладеть учетными данными базы данных, ключами API и прочитать содержимое конфиденциальных файлов. Кроме того, уязвимость создает условия для раскрытия секретов и латерального движения (горизонтального перемещения) атакующего внутри инфраструктуры организации.
Уязвимость была обнаружена Владимиром Токаревым из исследовательской лаборатории Cyera Research Labs. Комментируя находку, исследователь подчеркнул важность правильного подхода к изоляции: «Песочница должна быть основана на возможностях и глубокой защите, а не на хрупком черном списке». Это заявление указывает на необходимость фундаментального пересмотра принципов безопасности в подобных системах.
Для устранения угрозы разработчики выпустили исправленную версию 1.7.9, датированную 9 января 2026 года. Основным техническим исправлением стал перенос выполнения формул Pyodide под управление среды выполнения Deno JavaScript по умолчанию, что обеспечивает более надежный уровень изоляции.
Администраторам систем рекомендуется немедленно проверить настройки безопасности. Для этого нужно перейти в административную панель, в раздел Sandboxing. Если статус отображается как «gvisor», система защищена. Если же указано «pyodide», программное обеспечение уязвимо. В качестве временной меры защиты можно принудительно установить переменную окружения
Эксперты отмечают сходство Cellbreak с другой недавней уязвимостью в платформе автоматизации n8n, получившей название N8scape (CVE-2025-68668) с критическим рейтингом CVSS 9.9. Оба случая демонстрируют системную проблему платформ, где единая поверхность выполнения с привилегированным доступом может привести к полному краху доверительных границ внутри корпоративных сетей.
Техническая суть проблемы кроется в возможности побега из песочницы (sandbox escape). Grist использует дистрибутив Python под названием Pyodide для запуска пользовательских формул внутри среды WebAssembly (WASM) непосредственно в браузере. Архитектурная ошибка заключалась в том, что система безопасности полагалась на метод «черных списков», который оказался недостаточным для полноценной защиты от изощренных манипуляций.
Механизм атаки использует особенности языка Python. Уязвимость позволяла злоумышленникам перемещаться по иерархии классов Python, при этом оставляя доступной библиотеку
ctypes. Такая комбинация открывала доступ к функциям среды выполнения Emscripten, которые при корректной настройке должны быть недосягаемы. Это приводило к разрушению границы между логикой вычисления ячеек и выполнением процессов на хосте, позволяя коду покинуть изолированную среду. Последствия успешной эксплуатации Cellbreak крайне серьезны. Атакующий получает возможность выполнять произвольные команды операционной системы или запускать JavaScript на уровне хост-среды. Триггером для активации вредоносного кода служит открытие пользователем скомпрометированного документа в системе, где переменная конфигурации
GRIST_SANDBOX_FLAVOR установлена в значение «pyodide». В список потенциального ущерба входит запуск произвольных процессов на сервере хостинга и несанкционированный доступ к файловой системе. Злоумышленники могут завладеть учетными данными базы данных, ключами API и прочитать содержимое конфиденциальных файлов. Кроме того, уязвимость создает условия для раскрытия секретов и латерального движения (горизонтального перемещения) атакующего внутри инфраструктуры организации.
Уязвимость была обнаружена Владимиром Токаревым из исследовательской лаборатории Cyera Research Labs. Комментируя находку, исследователь подчеркнул важность правильного подхода к изоляции: «Песочница должна быть основана на возможностях и глубокой защите, а не на хрупком черном списке». Это заявление указывает на необходимость фундаментального пересмотра принципов безопасности в подобных системах.
Для устранения угрозы разработчики выпустили исправленную версию 1.7.9, датированную 9 января 2026 года. Основным техническим исправлением стал перенос выполнения формул Pyodide под управление среды выполнения Deno JavaScript по умолчанию, что обеспечивает более надежный уровень изоляции.
Администраторам систем рекомендуется немедленно проверить настройки безопасности. Для этого нужно перейти в административную панель, в раздел Sandboxing. Если статус отображается как «gvisor», система защищена. Если же указано «pyodide», программное обеспечение уязвимо. В качестве временной меры защиты можно принудительно установить переменную окружения
GRIST_SANDBOX_FLAVOR в значение «gvisor». Категорически запрещено устанавливать переменную GRIST_PYODIDE_SKIP_DENO в значение «1», так как это действие отменяет защиту и возвращает риск эксплуатации. Эксперты отмечают сходство Cellbreak с другой недавней уязвимостью в платформе автоматизации n8n, получившей название N8scape (CVE-2025-68668) с критическим рейтингом CVSS 9.9. Оба случая демонстрируют системную проблему платформ, где единая поверхность выполнения с привилегированным доступом может привести к полному краху доверительных границ внутри корпоративных сетей.
