CVE-2026-55548 in Yamcsالمعلومات

الملخص

بحسب VulDB • 16/07/2026

Yamcs هو إطار عمل للتحكم في المهمات. قبل الإصدارين 5.12.8 و5.13.2، كان نقطة النهاية PacketsApi.exportPackets الموجودة في الملف yamcs-core/src/main/java/org/yamcs/http/api/PacketsApi.java تفشل في فرض صلاحيات قراءة الحزمة على مستوى الكائن (ReadPacket) عندما كانت الطلبات تستثني أسماء حزم محددة: مع قائمة أسماء فارغة، كان استدعاء ctx.checkObjectPrivileges(ObjectPrivilegeType.ReadPacket, nameSet) يمر عبر مجموعة فارغة دون تطبيق فلتر WHERE pname IN على استعلام SELECT * FROM tm الناتج، وكان المعالج onTuple يقوم ببث جميع الحزم المسترجعة دون أي فحص تفويض لكل صف (per-row authorization check)، مما مكن مستخدمًا موثقًا ذو امتيازات منخفضة أو صفرية من تصدير الأرشيف الكامل لحزم التيليمتري الخام وتجاوز نموذج التحكم في الوصول القائم على الأدوار. تم إصلاح هذه المشكلة في الإصدارين 5.12.8 و5.13.2، اللذين يفرضان فحوصات ReadPacket لكل حزمة داخل دالة exportPackets.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub M

حجز

17/06/2026

إفشاء

16/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379592

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!