Katalog CVE

CVE-2026-32613

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Spinnaker to otwartoźródłowa platforma do ciągłego dostarczania w chmurze. W wersjach przed 2026.1.0, 2026.0.1, 2025.4.2 i 2025.3.2, usługa Echo nie ograniczała kontekstu do zaufanych klas, co umożliwiało pełny dostęp do JVM i pozwalało na użycie dowolnych klas Java, co zagrażało bezpieczeństwu systemu.

Ocena ryzyka

Umożliwienie użytkownikom dostępu do dowolnych klas Java stwarza poważne ryzyko, w tym możliwość wykonywania poleceń i dostępu do plików, co może prowadzić do naruszenia integralności i poufności danych w organizacji.

Rekomendacja

Zaleca się aktualizację do wersji 2026.1.0, 2026.0.1, 2025.4.2 lub 2025.3.2, które zawierają poprawki. Alternatywnie, można całkowicie wyłączyć usługę Echo jako tymczasowe rozwiązanie.

Oryginalny opis (angielski, źródło NVD)

Spinnaker is an open source, multi-cloud continuous delivery platform. Echo like some other services, uses SPeL (Spring Expression Language) to process information - specifically around expected artifacts. In versions prior to 2026.1.0, 2026.0.1, 2025.4.2, and 2025.3.2, unlike orca, it was NOT restricting that context to a set of trusted classes, but allowing FULL JVM access. This enabled a user to use arbitrary java classes which allow deep access to the system. This enabled the ability to invoke commands, access files, etc. Versions 2026.1.0, 2026.0.1, 2025.4.2, and 2025.3.2 contain a patch. As a workaround, disable echo entirely.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS