Podatność klasy Expression Language Injection (CWE-917) w produkcie Apinizer firmy Soagen Informatics Technologies umożliwia zdalne wstrzykiwanie i wykonywanie kodu bez uwierzytelnienia. Ocena CVSS 9.8 wskazuje na krytyczny poziom zagrożenia — atakujący może przejąć kontrolę nad systemem przez sieć.
▸ Pokaż oryginał (EN)
Improper neutralization of special elements used in an expression language statement ('expression language injection') vulnerability in Soagen Informatics Technologies Software and Consulting Inc. Apinizer allows Code Injection. This issue affects Apinizer: from 2026.04.0 before 2026.04.6.
Oprogramowanie Apinizer nieprawidłowo neutralizuje znaki specjalne wykorzystywane w wyrażeniach języka Expression Language (EL). Atakujący może dostarczyć spreparowane dane wejściowe zawierające złośliwe wyrażenia EL, które zostaną zinterpretowane i wykonane przez silnik przetwarzający te wyrażenia po stronie serwera. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika, a złożoność ataku jest niska (AC:L, PR:N, UI:N), co czyni podatność szczególnie łatwą do wykorzystania.
Skuteczne wykorzystanie podatności pozwala atakującemu na zdalne wykonanie dowolnego kodu (Code Injection/RCE) na serwerze, co może prowadzić do pełnego przejęcia systemu, ujawnienia poufnych danych, modyfikacji konfiguracji lub całkowitej utraty dostępności usługi.
Należy niezwłocznie zaktualizować Apinizer do wersji 2026.04.6 lub nowszej. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta pod adresem: https://siberguvenlik.gov.tr/guvenlik-bildirimleri/detay/tr-26-0365
Apinizer w wersjach od 2026.04.0 do 2026.04.5 (przed wersją 2026.04.6)
Podatność zgłoszona przez turecką instytucję ds. cyberbezpieczeństwa (siberguvenlik.gov.tr) i opublikowana 11 czerwca 2026 roku. Brak wpisu w CISA KEV na dzień publikacji karty.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H