CRITICAL🇬🇧 English

CVE-2026-11561

Expression Language Injection w Apinizer — możliwość Code Injection (CRITICAL)

CVSS 9.8v3.1pub. 2026-06-11upd. 2026-06-12

Podatność klasy Expression Language Injection (CWE-917) w produkcie Apinizer firmy Soagen Informatics Technologies umożliwia zdalne wstrzykiwanie i wykonywanie kodu bez uwierzytelnienia. Ocena CVSS 9.8 wskazuje na krytyczny poziom zagrożenia — atakujący może przejąć kontrolę nad systemem przez sieć.

Pokaż oryginał (EN)

Improper neutralization of special elements used in an expression language statement ('expression language injection') vulnerability in Soagen Informatics Technologies Software and Consulting Inc. Apinizer allows Code Injection. This issue affects Apinizer: from 2026.04.0 before 2026.04.6.

🤖 Analiza AI
Jak działa

Oprogramowanie Apinizer nieprawidłowo neutralizuje znaki specjalne wykorzystywane w wyrażeniach języka Expression Language (EL). Atakujący może dostarczyć spreparowane dane wejściowe zawierające złośliwe wyrażenia EL, które zostaną zinterpretowane i wykonane przez silnik przetwarzający te wyrażenia po stronie serwera. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika, a złożoność ataku jest niska (AC:L, PR:N, UI:N), co czyni podatność szczególnie łatwą do wykorzystania.

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na zdalne wykonanie dowolnego kodu (Code Injection/RCE) na serwerze, co może prowadzić do pełnego przejęcia systemu, ujawnienia poufnych danych, modyfikacji konfiguracji lub całkowitej utraty dostępności usługi.

Mitygacja

Należy niezwłocznie zaktualizować Apinizer do wersji 2026.04.6 lub nowszej. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta pod adresem: https://siberguvenlik.gov.tr/guvenlik-bildirimleri/detay/tr-26-0365

Kogo dotyczy

Apinizer w wersjach od 2026.04.0 do 2026.04.5 (przed wersją 2026.04.6)

Uwagi

Podatność zgłoszona przez turecką instytucję ds. cyberbezpieczeństwa (siberguvenlik.gov.tr) i opublikowana 11 czerwca 2026 roku. Brak wpisu w CISA KEV na dzień publikacji karty.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje