CVE-2026-25526
CriticalSummary
JinJava to silnik szablonów oparty na Javie, który przed wersjami 2.7.6 i 2.8.3 był podatny na wykonanie dowolnego kodu Java poprzez obejście zabezpieczeń w ForTag. Umożliwia to instancjonowanie dowolnych klas Java oraz dostęp do plików, omijając wbudowane ograniczenia sandboxa.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ pozwala na nieautoryzowane wykonanie kodu oraz dostęp do systemu plików, co może prowadzić do wycieku danych lub przejęcia kontroli nad systemem.
Recommendation
Zaleca się aktualizację do wersji 2.7.6 lub 2.8.3, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa aplikacji korzystających z JinJava.
Original NVD description (English source)
JinJava is a Java-based template engine based on django template syntax, adapted to render jinja templates. Prior to versions 2.7.6 and 2.8.3, JinJava is vulnerable to arbitrary Java execution via bypass through ForTag. This allows arbitrary Java class instantiation and file access bypassing built-in sandbox restrictions. This issue has been patched in versions 2.7.6 and 2.8.3.

