CVE-2022-26111

https://notcve.org/view.php?id=CVE-2022-26111

The BeanShell components of IRISNext through 9.8.28 allow execution of arbitrary commands on the target server by creating a custom search (or editing an existing/predefined search) of the documents. The search components permit adding BeanShell expressions that result in Remote Code Execution in the context of the IRISNext application user, running on the web server. Los componentes BeanShell de IRISNext versiones hasta 9.8.28, permiten una ejecución de comandos arbitrarios en el servidor de destino mediante la creación de una búsqueda personalizada (o la edición de una búsqueda existente/predefinida) de los documentos. Los componentes de búsqueda permiten añadir expresiones BeanShell que resultan en una Ejecución de Código Remota en el contexto del usuario de la aplicación IRISNext, que es ejecutada en el servidor web • https://github.com/post-cyberlabs/CVE-Advisory/blob/main/CVE-2022-26111.pdf https://varsnext.iriscorporate.com • CWE-917: Improper Neutralization of Special Elements used in an Expression Language Statement ('Expression Language Injection') •