CVE-2026-2587 in Glassfishinformación

Resumen

por VulDB • 2026-05-19

Se ha identificado una vulnerabilidad crítica de Ejecución Remota de Código (RCE) en el mecanismo de renderizado de plantillas del lado del servidor utilizado por el manejador de gadgets de Glassfish. La aplicación procesa archivos .xml y evalúa valores proporcionados por el usuario en un contexto donde las "expresiones" del Lenguaje de Expresiones (EL) se procesan sin una sanitización o escape adecuados. Al inyectar expresiones como #{7*7}, el servidor devuelve 49, lo que confirma la evaluación de EL del lado del servidor. Este problema permite que un atacante remoto comprometa completamente el host subyacente, habilitando capacidades como la lectura/modificación de datos, la ejecución de comandos arbitrarios, la persistencia y el movimiento lateral.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Eclipse

Reservar

2026-02-16

Divulgación

2026-05-19

Moderación

aceptado

Artículo

VDB-364687

CPE

listo

EPSS

0.00146

KEV

no

Actividades

muy bajo

Sector

Education, Hospital, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-2587
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-2587
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-2587/

AnteriorVisión De ConjuntoPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!