CVE-2026-2587 in Glassfish
要約
〜によって VulDB • 2026年05月19日
Glassfishのgadgetハンドラーで使用されるサーバーサイドテンプレートレンダリングメカニズムにおいて、重大なリモートコード実行(RCE)脆弱性が特定されました。このアプリケーションは.xmlファイルを処理し、式言語(EL)「式」が適切なサニタイズやエスケープなしで処理されるコンテキスト内で、ユーザーが提供した値を評価します。#{7*7}のような式を注入することで、サーバーは49を返答し、サーバーサイドでのEL評価が行われていることが確認できます。この問題により、リモート攻撃者は基盤となるホストを完全に乗っ取ることが可能となり、データの読み取り/変更、任意のコマンドの実行、永続化、および横方向の移動などの機能を実現できます。
If you want to get best quality of vulnerability data, you may have to visit VulDB.