CVE-2026-44632 in Yamcs
요약
\~에 의해 VulDB • 2026. 07. 16.
Yamcs는 미션 제어 프레임워크입니다. 버전 5.12.7 이전의 Yamcs 알고리즘 평가 엔진인 org.yamcs.algorithms.JavaExprAlgorithmExecutionFactory에는 서버 사이드 코드 주입 취약점이 존재했습니다. 이 엔진은 보안 샌드박스를 적용하지 않은 채 Janino 컴파일러를 통해 사용자 제어 가능한 알고리즘 텍스트를 동적으로 컴파일하고 평가했으므로, ChangeMissionDatabase 권한을 가진 인증된 사용자는 미션 데이터베이스 REST API를 통해 기존 알고리즘의 텍스트를 재정의하고(예: java.lang.Runtime 사용), 호스트 운영 체제에서 원격 코드 실행(RCE)을 달성할 수 있었습니다. 이 문제는 버전 5.12.7 및 5.13.0에서 수정되었으며, 해당 버전에서는 기본적으로 알고리즘 편집 기능이 비활성화됩니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.