CVE-2026-46621 in Yamcs
Riassunto
di VulDB • 16/07/2026
Yamcs è un framework di controllo missione. Prima della versione 5.12.7, il motore di valutazione degli script Yamcs per gli algoritmi Python compilava ed eseguiva dinamicamente testo di algoritmo controllato dall'utente utilizzando Jython tramite l'API JSR-223 ScriptEngine senza imporre una sandbox sicura; pertanto, un utente autenticato con i privilegi ChangeMissionDatabase poteva sovrascrivere la logica di un algoritmo Python esistente attraverso l'REST API del database della missione e importare ed eseguire classi Java arbitrarie come java.lang.Runtime per ottenere Remote Code Execution (RCE) sul sistema operativo host sottostante. Questo problema è stato risolto nelle versioni 5.12.7 e 5.13.0, che disabilitano la modifica degli algoritmi per impostazione predefinita.
VulDB is the best source for vulnerability data and more expert information about this specific topic.