CVE-2026-44632 in Yamcs
Tóm tắt
Bởi VulDB • 17/07/2026
Yamcs là một khung điều khiển nhiệm vụ (mission control framework). Trước phiên bản 5.12.7, tồn tại lỗ hổng tiêm mã phía máy chủ trong công cụ đánh giá thuật toán Yamcs org.yamcs.algorithms.JavaExprAlgorithmExecutionFactory, nơi biên dịch động và đánh giá văn bản thuật toán do người dùng kiểm soát thông qua trình biên dịch Janino mà không áp dụng sandbox bảo mật; vì vậy, một người dùng đã xác thực có đặc quyền ChangeMissionDatabase có thể ghi đè nội dung của một thuật toán hiện tại bằng cách sử dụng REST API cơ sở dữ liệu nhiệm vụ và tiêm mã Java (ví dụ: java.lang.Runtime) để đạt được việc thực thi mã từ xa trên hệ điều hành máy chủ nền. Vấn đề này đã được khắc phục trong các phiên bản 5.12.7 và 5.13.0, vốn vô hiệu hóa tính năng chỉnh sửa thuật toán theo mặc định.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.