CVE-2026-36418
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 37 — wyżej niż 37% wszystkich znanych CVE
Streszczenie
Wersje JimuReport 2.3.4 i wcześniejsze są podatne na zdalne wykonanie kodu z powodu niewłaściwego przetwarzania wyrażeń Aviator. Punkt końcowy /jmreport/executeSelectApi przekazuje dane wejściowe dostarczone przez użytkownika bez odpowiedniej walidacji, co pozwala atakującym na wykonanie dowolnego kodu.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonywanie kodu, co może prowadzić do przejęcia kontroli nad systemem.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji JimuReport, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów walidacji danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
JimuReport versions 2.3.4 and below are vulnerable to remote code execution due to improper handling of Aviator expressions. The /jmreport/executeSelectApi endpoint passes user-supplied input directly to the Aviator expression engine without adequate validation allowing attackers to execute arbitrary code.

