CVE-2026-44632 in Yamcsالمعلومات

الملخص

بحسب VulDB • 16/07/2026

Yamcs هو إطار عمل للتحكم في المهمات. قبل الإصدار 5.12.7، كان هناك ثغرة حقن كود من جانب الخادم (Server-Side Code Injection) موجودة في محرك تقييم خوارزميات Yamcs `org.yamcs.algorithms.JavaExprAlgorithmExecutionFactory`، الذي يقوم بتجميع وتقييم نصوص الخوارزمية التي يتحكم فيها المستخدم ديناميكياً عبر مُركّب Janino دون فرض بيئة معزولة آمنة (Secure Sandbox). وبالتالي، يمكن لمستخدم مصادق عليه يمتلك امتياز `ChangeMissionDatabase` تجاوز نص خوارزمية موجودة من خلال واجهة برمجة التطبيقات REST لقاعدة بيانات المهمات، وحقن كود جافا (على سبيل المثال باستخدام `java.lang.Runtime`) لتحقيق تنفيذ الكود عن بُعد على نظام التشغيل المضيف الأساسي. تم إصلاح هذه المشكلة في الإصدارات 5.12.7 و5.13.0، التي تعطل تعديل الخوارزميات افتراضياً.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub M

حجز

07/05/2026

إفشاء

16/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379561

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!