つみかさね

CVE-2026-2587

Critical(9.6)

CVE-2026-2587 — Eclipse Glassfish サーバーサイドテンプレートインジェクションRCE

公開日: 2026-05-22データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Eclipse GlassfishEclipse Foundation詳細はアドバイザリを参照

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

  1. 1使用しているGlassfishのバージョンを確認する
  2. 2Eclipse公式のセキュリティアドバイザリで影響バージョンを確認する
  3. 3修正バージョンへのアップデートを実施する
  4. 4インターネット公開インスタンスはアクセスログに不審な痕跡がないか確認する

影響対象

Eclipse Glassfish利用者

補足

  • -詳細なバージョン範囲についてはEclipse公式アドバイザリを参照してください
CVEGlassfishEclipseRCEテンプレートインジェクションSSTI

概要

Eclipse Glassfishのガジェットハンドラで使用されるサーバーサイドテンプレートレンダリング機構に、リモートコード実行(RCE)が可能な脆弱性があります(CWE-917:サーバーサイドテンプレートインジェクション)。

アプリケーションは.xmlファイルを処理する際、攻撃者が制御可能な式を評価します。この式評価を通じて任意コード実行が可能になります。

CVSSベクトル

項目
スコア9.6 (CRITICAL)
攻撃経路 (AV)ネットワーク (N)
攻撃の複雑さ (AC)低 (L)
必要な権限 (PR)不要 (N)
ユーザー関与 (UI)不要 (N)
CWECWE-917(サーバーサイドテンプレートインジェクション)

影響を受けるソフトウェア

製品ベンダー影響バージョン
Eclipse GlassfishEclipse Foundation詳細はアドバイザリを参照

修正バージョンと回避策

Eclipse Foundationのセキュリティアドバイザリおよびリリースノートを確認し、修正バージョンへのアップデートを実施してください。

推奨アクション:

  1. 使用しているGlassfishのバージョンを確認する
  2. Eclipse GitLabのセキュリティアドバイザリを参照し、影響を受けるバージョンかどうか確認する
  3. 修正バージョンへのアップデートを実施する
  4. インターネット公開インスタンスの場合は、アップデートまでの間アクセス制御の強化を検討する

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-2587
Eclipse GitLab:https://gitlab.eclipse.org/security/cve-assignment/-/issues/86
GHSA:https://github.com/advisories/GHSA-29wv-cv7p-xjc2
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。