Pubblicato il 2026-07-16 · Fonte: NVD NIST
La vulnerabilità CVE-2026-46562 è stata scoperta in Yamcs, un framework di controllo missioni. Prima della versione 5.12.7, l'engine di scripting Nashorn utilizzato per valutare il testo degli algoritmi JavaScript forniti dall'utente non aveva un filtro di classe, permettendo a un utente con il privilegio ChangeMissionDatabase di sovrascrivere un algoritmo e eseguire comandi arbitrari del sistema operativo. La vulnerabilità è stata risolta nelle versioni 5.12.7 e 5.13.0, che disabilitano la modifica degli algoritmi per default.
Un attaccante può sfruttare questa vulnerabilità per eseguire comandi arbitrari del sistema operativo come il processo Yamcs, potenzialmente portando a un controllo totale del sistema. Ciò è particolarmente preoccupante nella configurazione predefinita, dove l'utente guest ha privilegi di superutente, rendendo l'accesso possibile senza autenticazione.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare Yamcs alla versione 5.12.7 o 5.13.0, che disabilitano la modifica degli algoritmi per default. Inoltre, è importante configurare correttamente i privilegi degli utenti e assicurarsi che la sicurezza sia implementata secondo le best practice, come utilizzare un file di configurazione di sicurezza (security.yaml) per limitare l'accesso.
La vulnerabilità CVE-2026-46562 è una vulnerabilità critica in Yamcs che consente l'esecuzione di comandi arbitrari del sistema operativo.
L'impatto della vulnerabilità è critico, con un CVSS Score di 9.8, e può portare a un controllo totale del sistema.
Per proteggersi, è consigliabile aggiornare Yamcs alla versione 5.12.7 o 5.13.0 e configurare correttamente i privilegi degli utenti e la sicurezza del sistema.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.