CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-25526

Critical
Published: Translated: NVD NIST

Summary

JinJava to silnik szablonów oparty na Javie, który przed wersjami 2.7.6 i 2.8.3 był podatny na wykonanie dowolnego kodu Java poprzez obejście zabezpieczeń w ForTag. Umożliwia to instancjonowanie dowolnych klas Java oraz dostęp do plików, omijając wbudowane ograniczenia sandboxa.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ pozwala na nieautoryzowane wykonanie kodu oraz dostęp do systemu plików, co może prowadzić do wycieku danych lub przejęcia kontroli nad systemem.

Recommendation

Zaleca się aktualizację do wersji 2.7.6 lub 2.8.3, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa aplikacji korzystających z JinJava.

Original NVD description (English source)

JinJava is a Java-based template engine based on django template syntax, adapted to render jinja templates. Prior to versions 2.7.6 and 2.8.3, JinJava is vulnerable to arbitrary Java execution via bypass through ForTag. This allows arbitrary Java class instantiation and file access bypassing built-in sandbox restrictions. This issue has been patched in versions 2.7.6 and 2.8.3.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS