CVE-2026-44632 in Yamcs
الملخص
بحسب VulDB • 16/07/2026
Yamcs هو إطار عمل للتحكم في المهمات. قبل الإصدار 5.12.7، كان هناك ثغرة حقن كود من جانب الخادم (Server-Side Code Injection) موجودة في محرك تقييم خوارزميات Yamcs `org.yamcs.algorithms.JavaExprAlgorithmExecutionFactory`، الذي يقوم بتجميع وتقييم نصوص الخوارزمية التي يتحكم فيها المستخدم ديناميكياً عبر مُركّب Janino دون فرض بيئة معزولة آمنة (Secure Sandbox). وبالتالي، يمكن لمستخدم مصادق عليه يمتلك امتياز `ChangeMissionDatabase` تجاوز نص خوارزمية موجودة من خلال واجهة برمجة التطبيقات REST لقاعدة بيانات المهمات، وحقن كود جافا (على سبيل المثال باستخدام `java.lang.Runtime`) لتحقيق تنفيذ الكود عن بُعد على نظام التشغيل المضيف الأساسي. تم إصلاح هذه المشكلة في الإصدارات 5.12.7 و5.13.0، التي تعطل تعديل الخوارزميات افتراضياً.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.