CVE-2026-55548 in Yamcsinformação

Sumário

de VulDB • 17/07/2026

O Yamcs é um framework de controle de missão. Antes das versões 5.12.8 e 5.13.2, o endpoint PacketsApi.exportPackets em yamcs-core/src/main/java/org/yamcs/http/api/PacketsApi.java não aplicava as permissões ReadPacket (Leitura de Pacotes) ao nível do objeto quando uma solicitação omitia nomes específicos de pacotes: com uma lista de nomes vazia, a chamada ctx.checkObjectPrivileges(ObjectPrivilegeType.ReadPacket, nameSet) era aprovada para um conjunto vazio, nenhum filtro WHERE pname IN era aplicado à consulta SELECT * FROM tm resultante e o manipulador onTuple transmitia todos os pacotes recuperados sem qualquer verificação de autorização por linha. Assim, um usuário autenticado com privilégios baixos ou nulos poderia dumping (dump) do arquivo inteiro de pacotes de telemetria bruta e contornar o modelo de controle de acesso baseado em funções (RBAC). Este problema foi corrigido nas versões 5.12.8 e 5.13.2, que aplicam verificações ReadPacket por pacote no exportPackets.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

GitHub M

Reservar

17/06/2026

Divulgação

16/07/2026

Moderação

aceite

Entrada

VDB-379592

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!