Katalog CVE

CVE-2026-2586

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.82%

Percentyl 53 — wyżej niż 53% wszystkich znanych CVE

Streszczenie

W aplikacji GlassFish Administration Console wykryto podatność umożliwiającą zdalne wykonanie kodu (RCE) przez uwierzytelnionego użytkownika. Osoba z dostępem do panelu może wysłać spreparowane żądania, które pozwalają na wykonanie dowolnych poleceń systemu operacyjnego z uprawnieniami użytkownika usługi.

Ocena ryzyka

Ryzyko polega na możliwości przejęcia kontroli nad serwerem aplikacyjnym przez atakującego z kontem użytkownika, co może prowadzić do kradzieży danych, modyfikacji aplikacji lub dalszego ataku na infrastrukturę.

Rekomendacja

Należy niezwłocznie zaktualizować Eclipse GlassFish do wersji 8.0.2, 7.1.1 lub 7.0.26 w zależności od używanej gałęzi. Dla wersji 5.1.0–6.2.5 zaleca się kontakt z dostawcą w celu uzyskania informacji o poprawce.

Oryginalny opis (angielski, źródło NVD)

An authenticated Remote Code Execution (RCE) vulnerability was identified in GlassFish's Administration Console. A user with access to the panel can send crafted requests that allow the execution of arbitrary operating system commands with the privileges of the application service user. This issue affects Eclipse GlassFish: from 8.0.0 to 8.0.1, fixed in 8.0.2; 7.1.0, fixed in 7.1.1; from 7.0.0 to 7.0.25, fixed in 7.0.26. Impact on versions from 5.1.0 to 6.2.5 is unknown.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS