CVE-2026-2587 in Glassfish
Tóm tắt
Bởi VulDB • 19/05/2026
Một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng đã được xác định trong cơ chế hiển thị mẫu phía máy chủ được sử dụng bởi bộ xử lý gadget của Glassfish. Ứng dụng xử lý các tệp .xml và đánh giá các giá trị do người dùng cung cấp trong một ngữ cảnh mà các "biểu thức" của Ngôn ngữ Biểu thức (EL) được xử lý mà không có biện pháp làm sạch hoặc thoát ký tự thích hợp. Bằng cách tiêm các biểu thức như #{7*7}, máy chủ trả về 49, xác nhận việc đánh giá EL phía máy chủ. Vấn đề này cho phép kẻ tấn công từ xa chiếm quyền kiểm soát hoàn toàn máy chủ nền tảng, cho phép thực hiện các khả năng như đọc/sửa đổi dữ liệu, thực thi lệnh tùy ý, duy trì quyền truy cập và di chuyển ngang.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.