Katalog CVE

CVE-2026-25526

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

JinJava to silnik szablonów oparty na Javie, który przed wersjami 2.7.6 i 2.8.3 był podatny na wykonanie dowolnego kodu Java poprzez obejście zabezpieczeń w ForTag. Umożliwia to instancjonowanie dowolnych klas Java oraz dostęp do plików, omijając wbudowane ograniczenia sandboxa.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ pozwala na nieautoryzowane wykonanie kodu oraz dostęp do systemu plików, co może prowadzić do wycieku danych lub przejęcia kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację do wersji 2.7.6 lub 2.8.3, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa aplikacji korzystających z JinJava.

Oryginalny opis (angielski, źródło NVD)

JinJava is a Java-based template engine based on django template syntax, adapted to render jinja templates. Prior to versions 2.7.6 and 2.8.3, JinJava is vulnerable to arbitrary Java execution via bypass through ForTag. This allows arbitrary Java class instantiation and file access bypassing built-in sandbox restrictions. This issue has been patched in versions 2.7.6 and 2.8.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS