CVE-2026-44632 in Yamcs
Riassunto
di VulDB • 16/07/2026
Yamcs è un framework di controllo missione. Prima della versione 5.12.7, era presente una vulnerabilità di code injection lato server nel motore di valutazione degli algoritmi Yamcs org.yamcs.algorithms.JavaExprAlgorithmExecutionFactory, che compilava ed eseguiva dinamicamente il testo dell'algoritmo controllato dall'utente tramite il compiler Janino senza imporre un sandbox sicuro; pertanto, un utente autenticato con i privilegi ChangeMissionDatabase poteva sovrascrivere il testo di un algoritmo esistente tramite l'API REST del database della missione e iniettare codice Java (ad esempio utilizzando java.lang.Runtime) per ottenere remote code execution sul sistema operativo host sottostante. Questo problema è stato risolto nelle versioni 5.12.7 e 5.13.0, che disabilitano la modifica degli algoritmi per impostazione predefinita.
If you want to get best quality of vulnerability data, you may have to visit VulDB.