CRITICAL🇬🇧 English

CVE-2026-25526

HubSpot JinJava — obejście sandbox i wykonanie dowolnego kodu Java przez ForTag

CVSS 9.8v3.1pub. 2026-02-04upd. 2026-02-20

JinJava, silnik szablonów Java oparty na składni Django/Jinja, zawiera krytyczną podatność umożliwiającą obejście wbudowanych mechanizmów sandbox poprzez konstrukcję ForTag. Błąd pozwala atakującemu na wykonanie dowolnego kodu Java oraz dostęp do systemu plików bez żadnych uprawnień wstępnych.

Pokaż oryginał (EN)

JinJava is a Java-based template engine based on django template syntax, adapted to render jinja templates. Prior to versions 2.7.6 and 2.8.3, JinJava is vulnerable to arbitrary Java execution via bypass through ForTag. This allows arbitrary Java class instantiation and file access bypassing built-in sandbox restrictions. This issue has been patched in versions 2.7.6 and 2.8.3.

🤖 Analiza AI
Jak działa

Podatność (CWE-1336 — improper neutralization of special elements in template engine) polega na tym, że mechanizm ForTag nie jest prawidłowo ograniczany przez sandbox silnika szablonów. Atakujący może spreparować złośliwy szablon zawierający konstrukcję ForTag, która omija wbudowane restrykcje i umożliwia bezpośrednie tworzenie instancji dowolnych klas Java. W rezultacie możliwy jest dostęp do plików na serwerze oraz wykonanie arbitralnego kodu w kontekście aplikacji.

Skutki

Atakujący bez żadnego uwierzytelnienia może zdalnie wykonać dowolny kod Java na serwerze (RCE), tworzyć instancje dowolnych klas Java oraz uzyskiwać nieautoryzowany dostęp do plików — co prowadzi do pełnego przejęcia kontroli nad aplikacją i potencjalnie systemem operacyjnym.

Mitygacja

Należy zaktualizować HubSpot JinJava do wersji 2.7.6 lub 2.8.3, w których podatność została naprawiona. Commity naprawcze dostępne są w repozytorium GitHub projektu (3d02e504 oraz c7328dce). Jeśli natychmiastowa aktualizacja nie jest możliwa, należy uniemożliwić przetwarzanie niezaufanych szablonów przez silnik.

Kogo dotyczy

HubSpot JinJava w wersjach przed 2.7.6 oraz przed 2.8.3

Uwagi

Podatność zgłoszona i załatana w wersjach 2.7.6 oraz 2.8.3, opublikowanych wraz z security advisory GHSA-gjx9-j8f8-7j74 na GitHub. Data publikacji CVE: 2026-02-04.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Hubspot Jinjava

    APP
    Hubspot
    < 2.7.62.8.0 – 2.8.3 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-59340CRITICAL9.8PL ✓ten sam produkt

HubSpot Jinjava — ucieczka z sandbox i RCE przez deserializację szablonów

CVE-2020-12668MEDIUM6.5ten sam produkt

Jinjava before 2.5.4 allow access to arbitrary classes by calling Java methods on objects passed into a Jinjav...

CVE-2018-18893MEDIUM5.3ten sam produkt

Jinjava before 2.4.6 does not block the getClass method, related to com/hubspot/jinjava/el/ext/JinjavaBeanELRe...

CVE-2022-1239HIGH8.8ten sam vendor

The HubSpot WordPress plugin before 8.8.15 does not validate the proxy URL given to the proxy REST endpoint, w...

CVE-2017-16035HIGH8.1ten sam vendor

The hubl-server module is a wrapper for the HubL Development Server. During installation hubl-server downloads...