JinJava, silnik szablonów Java oparty na składni Django/Jinja, zawiera krytyczną podatność umożliwiającą obejście wbudowanych mechanizmów sandbox poprzez konstrukcję ForTag. Błąd pozwala atakującemu na wykonanie dowolnego kodu Java oraz dostęp do systemu plików bez żadnych uprawnień wstępnych.
▸ Pokaż oryginał (EN)
JinJava is a Java-based template engine based on django template syntax, adapted to render jinja templates. Prior to versions 2.7.6 and 2.8.3, JinJava is vulnerable to arbitrary Java execution via bypass through ForTag. This allows arbitrary Java class instantiation and file access bypassing built-in sandbox restrictions. This issue has been patched in versions 2.7.6 and 2.8.3.
Podatność (CWE-1336 — improper neutralization of special elements in template engine) polega na tym, że mechanizm ForTag nie jest prawidłowo ograniczany przez sandbox silnika szablonów. Atakujący może spreparować złośliwy szablon zawierający konstrukcję ForTag, która omija wbudowane restrykcje i umożliwia bezpośrednie tworzenie instancji dowolnych klas Java. W rezultacie możliwy jest dostęp do plików na serwerze oraz wykonanie arbitralnego kodu w kontekście aplikacji.
Atakujący bez żadnego uwierzytelnienia może zdalnie wykonać dowolny kod Java na serwerze (RCE), tworzyć instancje dowolnych klas Java oraz uzyskiwać nieautoryzowany dostęp do plików — co prowadzi do pełnego przejęcia kontroli nad aplikacją i potencjalnie systemem operacyjnym.
Należy zaktualizować HubSpot JinJava do wersji 2.7.6 lub 2.8.3, w których podatność została naprawiona. Commity naprawcze dostępne są w repozytorium GitHub projektu (3d02e504 oraz c7328dce). Jeśli natychmiastowa aktualizacja nie jest możliwa, należy uniemożliwić przetwarzanie niezaufanych szablonów przez silnik.
HubSpot JinJava w wersjach przed 2.7.6 oraz przed 2.8.3
Podatność zgłoszona i załatana w wersjach 2.7.6 oraz 2.8.3, opublikowanych wraz z security advisory GHSA-gjx9-j8f8-7j74 na GitHub. Data publikacji CVE: 2026-02-04.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HHubspot Jinjava
APPHubspot< 2.7.62.8.0 – 2.8.3 (bez)
Powiązane podatności
HubSpot Jinjava — ucieczka z sandbox i RCE przez deserializację szablonów
Jinjava before 2.5.4 allow access to arbitrary classes by calling Java methods on objects passed into a Jinjav...
Jinjava before 2.4.6 does not block the getClass method, related to com/hubspot/jinjava/el/ext/JinjavaBeanELRe...
The HubSpot WordPress plugin before 8.8.15 does not validate the proxy URL given to the proxy REST endpoint, w...
The hubl-server module is a wrapper for the HubL Development Server. During installation hubl-server downloads...