CRITICAL🇬🇧 English

CVE-2026-24816

Infinite Loop w datavane TIS — podatność klasy CWE-835 (CVSS 10.0)

CVSS 10.0v4.0pub. 2026-01-27upd. 2026-04-15

Podatność nieskończonej pętli (infinite loop) w projekcie datavane TIS pozwala nieuwierzytelnionemu atakującemu zdalnie doprowadzić do niedostępności komponentów aplikacji. Ocena CVSS 10.0 czyni ją podatnością krytyczną wymagającą pilnego działania.

Pokaż oryginał (EN)

Loop with Unreachable Exit Condition ('Infinite Loop') vulnerability in datavane tis (tis-console/src/main/java/com/qlangtech/tis/runtime/module/action modules). This vulnerability is associated with program files ChangeDomainAction.Java. This issue affects tis: before v4.3.0.

🤖 Analiza AI
Jak działa

Błąd klasy CWE-835 ('Loop with Unreachable Exit Condition') występuje w pliku ChangeDomainAction.Java, znajdującym się w module tis-console (ścieżka: src/main/java/com/qlangtech/tis/runtime/module/action). Pętla w kodzie posiada warunek wyjścia, który nigdy nie może zostać spełniony, przez co wykonanie programu blokuje się bezterminowo. Atakujący może wywołać ten stan zdalnie, bez uwierzytelnienia i bez interakcji po stronie użytkownika, co klasyfikuje wektor ataku jako sieciowy o zerowej złożoności.

Skutki

Atakujący może doprowadzić do trwałego zawieszenia (denial of service) dotkniętego komponentu TIS, a ze względu na wysoki wpływ na poufność i integralność systemu nadrzędnego (SC:H, SI:H) istnieje ryzyko destabilizacji szerszego środowiska, w którym TIS jest wdrożone.

Mitygacja

Należy zaktualizować datavane TIS do wersji v4.3.0 lub nowszej. Poprawka dostępna jest w ramach pull request #444 w repozytorium projektu na GitHub (https://github.com/datavane/tis/pull/444).

Kogo dotyczy

datavane TIS we wszystkich wersjach przed v4.3.0

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:P/AU:Y/R:U/V:C/RE:M/U:Red
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje