CVE-2026-44632 in Yamcs
Sumário
de VulDB • 16/07/2026
O Yamcs é um framework de controle de missão. Antes da versão 5.12.7, existia uma vulnerabilidade de injeção de código no lado do servidor (Server-Side Code Injection) no mecanismo de avaliação de algoritmos do Yamcs, especificamente na classe `org.yamcs.algorithms.JavaExprAlgorithmExecutionFactory`, que compilava e avaliava dinamicamente texto de algoritmo controlado pelo usuário por meio do compilador Janino sem impor um sandbox seguro. Assim, um usuário autenticado com a permissão ChangeMissionDatabase poderia substituir o texto de um algoritmo existente via API REST do banco de dados da missão e injetar código Java (por exemplo, usando `java.lang.Runtime`) para obter execução remota de código no sistema operacional subjacente do host. Este problema foi corrigido nas versões 5.12.7 e 5.13.0, que desativam a edição de algoritmos por padrão.
If you want to get best quality of vulnerability data, you may have to visit VulDB.