Ocena 9.9 w skali CVSS 3.1 to sygnał, którego nie można ignorować. 1 Taki wynik otrzymała nowo zidentyfikowana luka w produkcie MySQL Shell od Oracle. 2 Analizujemy jej implikacje dla zespołów deweloperskich, również w Polsce, które korzystają z popularnego edytora Visual Studio Code.

TL;DR

  • Produkt: Oracle MySQL Shell, komponent dla Visual Studio Code 2 3.
  • Wektor: Zdalny, przez sieć (HTTP), wymaga niskich uprawnień 4.
  • Identyfikator: CVE-2026-46850 2.
  • Wpływ: Przejęcie kontroli nad narzędziem i potencjalnie innymi systemami (zmiana zakresu) 5 6.
  • Kogo dotyczy: Zespoły deweloperskie i administratorzy baz danych używający wersji 2026.2.0+9.6.1 rozszerzenia 7.
  • Pierwszy ruch: Weryfikacja używanej wersji i ograniczenie dostępu sieciowego do stacji roboczych z podatnym oprogramowaniem.

Wektor ataku

Zaobserwowaliśmy publikację nowej luki bezpieczeństwa, oznaczonej jako CVE-2026-46850. 2 Dotyczy ona produktu MySQL Shell firmy Oracle, a konkretnie komponentu przeznaczonego dla edytora Visual Studio Code (VS Code). 3 Podatna jest wersja 2026.2.0+9.6.1. 7

Luka otrzymała ocenę 9.9 w skali CVSS (Common Vulnerability Scoring System — skala 0-10 oceniająca powagę luki) w wersji 3.1. 1 Taki wynik klasyfikuje ją jako krytyczną. Atak jest uważany za łatwy do przeprowadzenia. 8 Wymaga od atakującego jedynie niskich uprawnień oraz dostępu sieciowego do podatnej maszyny za pośrednictwem protokołu HTTP. 4 Nie jest wymagana żadna interakcja ze strony użytkownika.

Szczególnie istotny jest wektor CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H. 9 Rozkładając go na czynniki pierwsze:

  • AV:N (Attack Vector: Network) – atak może być przeprowadzony zdalnie przez sieć.
  • AC:L (Attack Complexity: Low) – atak jest prosty technicznie.
  • PR:L (Privileges Required: Low) – atakujący potrzebuje jedynie konta z niskimi uprawnieniami.
  • UI:N (User Interaction: None) – atak nie wymaga żadnego działania ze strony ofiary.
  • S:C (Scope: Changed) – to kluczowy element. Udany atak pozwala na wyjście poza kontekst bezpieczeństwa podatnej aplikacji i wpłynięcie na inne komponenty systemu. 5
  • C:H, I:H, A:H (Confidentiality, Integrity, Availability: High) – atak ma maksymalny wpływ na poufność, integralność i dostępność danych. 10

Skuteczne wykorzystanie tej luki może prowadzić do całkowitego przejęcia kontroli nad narzędziem MySQL Shell. 6 W połączeniu ze zmianą zakresu (S:C), oznacza to, że atakujący może potencjalnie uzyskać możliwość wykonania dowolnego kodu na stacji roboczej dewelopera. To otwiera drogę do kradzieży poświadczeń, kluczy API, a także do dalszego ruchu wewnątrz sieci firmowej.

Wskaźniki kompromitacji

Na ten moment nie są dostępne publiczne wskaźniki kompromitacji (IoC — Indicators of Compromise), takie jak hashe plików, adresy IP serwerów C2 (Command and Control — serwer kontrolujący zainfekowane maszyny) czy konkretne domeny.

Zespołom SOC (Security Operations Center — zespół monitoringu bezpieczeństwa) rekomenduje się proaktywne poszukiwanie anomalii w logach. Należy zwrócić uwagę na:

  • Nietypowy ruch przychodzący na porcie HTTP do stacji roboczych, na których zainstalowane jest rozszerzenie MySQL Shell.
  • Podejrzane procesy potomne uruchamiane przez proces Visual Studio Code (Code.exe).
  • Nieautoryzowane modyfikacje w plikach konfiguracyjnych MySQL Shell lub samego VS Code w katalogach użytkownika.

Co zrobić w 24-48h

Brak oficjalnej łatki w momencie publikacji tego alertu wymaga podjęcia natychmiastowych działań mitygujących. Rekomendowane podejście jest szczególnie istotne dla polskich software house’ów i firm zatrudniających zespoły deweloperskie, gdzie VS Code jest standardem.

  1. Identyfikacja i weryfikacja. Należy niezwłocznie przeprowadzić audyt stacji roboczych w celu zidentyfikowania, które z nich posiadają zainstalowane rozszerzenie MySQL Shell dla VS Code w podatnej wersji 2026.2.0+9.6.1. 7

  2. Ograniczenie ryzyka. Do czasu wydania przez Oracle poprawki bezpieczeństwa, rekomenduje się rozważenie tymczasowego odinstalowania rozszerzenia. Jeśli jest ono krytyczne dla działania biznesowego, należy wdrożyć ścisłe reguły na firewallu, ograniczające przychodzący ruch HTTP do stacji deweloperskich.

  3. Monitoring i przygotowanie. Zespoły bezpieczeństwa powinny wdrożyć zasady monitorowania opisane w poprzedniej sekcji. Warto przygotować plan działania na wypadek wykrycia próby ataku.

  4. Komunikacja z zespołem. Poinformuj zespoły deweloperskie o zagrożeniu. Podniesienie świadomości jest kluczowym elementem obrony, szczególnie w sytuacji, gdy wektor ataku dotyczy narzędzi codziennej pracy.

W przypadku wykrycia podejrzanej aktywności lub potwierdzenia kompromitacji, polskie podmioty zobowiązane do raportowania w ramach ustawy o krajowym systemie cyberbezpieczeństwa powinny zgłosić incydent do właściwego CSIRT, np. CERT Polska.

Źródła

Zobacz też

Footnotes

  1. Wynik CVSS 3.1 Base Score wynosi 9.9. — https://nvd.nist.gov/vuln/detail/CVE-2026-46850 2

  2. Luka bezpieczeństwa CVE-2026-46850 dotyczy produktu MySQL Shell firmy Oracle MySQL. — https://nvd.nist.gov/vuln/detail/CVE-2026-46850 2 3 4

  3. Komponentem, którego dotyczy luka, jest Shell for VS Code. — https://nvd.nist.gov/vuln/detail/CVE-2026-46850 2

  4. Atakujący potrzebuje niskich uprawnień i dostępu sieciowego przez HTTP. — https://nvd.nist.gov/vuln/detail/CVE-2026-46850 2

  5. Ataki mogą znacząco wpłynąć na dodatkowe produkty, mimo że luka jest w MySQL Shell (zmiana zakresu). — https://nvd.nist.gov/vuln/detail/CVE-2026-46850 2

  6. Skuteczne ataki mogą doprowadzić do przejęcia kontroli nad MySQL Shell. — https://nvd.nist.gov/vuln/detail/CVE-2026-46850 2

  7. Dotknięta wersja to 2026.2.0+9.6.1. — https://nvd.nist.gov/vuln/detail/CVE-2026-46850 2 3

  8. Luka jest łatwa do wykorzystania. — https://nvd.nist.gov/vuln/detail/CVE-2026-46850

  9. Wektor CVSS to (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H). — https://nvd.nist.gov/vuln/detail/CVE-2026-46850

  10. Luka wpływa na poufność, integralność i dostępność. — https://nvd.nist.gov/vuln/detail/CVE-2026-46850