Katalog CVE

CVE-2026-36418

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.47%

Percentyl 37 — wyżej niż 37% wszystkich znanych CVE

Streszczenie

Wersje JimuReport 2.3.4 i wcześniejsze są podatne na zdalne wykonanie kodu z powodu niewłaściwego przetwarzania wyrażeń Aviator. Punkt końcowy /jmreport/executeSelectApi przekazuje dane wejściowe dostarczone przez użytkownika bez odpowiedniej walidacji, co pozwala atakującym na wykonanie dowolnego kodu.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonywanie kodu, co może prowadzić do przejęcia kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji JimuReport, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów walidacji danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

JimuReport versions 2.3.4 and below are vulnerable to remote code execution due to improper handling of Aviator expressions. The /jmreport/executeSelectApi endpoint passes user-supplied input directly to the Aviator expression engine without adequate validation allowing attackers to execute arbitrary code.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS