20. September 2025
In der Jinjava-Template-Engine von HubSpot wurde eine kritische Sicherheitslücke entdeckt, die Tausende Websites und Anwendungen für Remote-Code-Execution (RCE) angreifbar machen kann. Die als CVE-2025-59340 geführte Schwachstelle erhielt den maximalen CVSS-Wert von 10,0.
Sandbox-Umgehung durch JavaType-basierte Deserialisierung
Die Lücke ermöglicht Angreifern, die in Jinjava implementierten Sandbox-Beschränkungen zu umgehen. Die Sandbox sollte unter anderem direkte Zugriffe auf gefährliche Methoden wie getClass() verhindern und die Erzeugung von Class-Objekten blockieren. Über einen Umweg — konkret durch Aufrufe an mapper.getTypeFactory().constructFromCanonical() — kann jedoch der zugrundeliegende ObjectMapper dazu gebracht werden, von einem Angreifer kontrollierte Eingaben in beliebige Klassen zu deserialisieren. So lassen sich semi-beliebige Klasseninstanzen erzeugen, ohne eingeschränkte Methoden oder Klassenliterale direkt aufzurufen.
Auf diese Weise lassen sich etwa java.net.URL-Instanzen erzeugen, was den Zugriff auf lokale Dateien und URLs (zum Beispiel file:///etc/passwd) ermöglicht. In Kombination mit weiteren Techniken kann diese Primitive laut Proof-of-Concept zu einer Remote-Code-Ausführung führen.
Proof-of-Concept und Auswirkungen
Sicherheitsforscher demonstrierten die Schwere der Schwachstelle mit einem Proof-of-Concept, das zeigt, wie über die erzeugten java.net.URL-Objekte sensible Systemdateien ausgelesen werden können. Der PoC illustriert außerdem, wie sich die primitive Deserialisierung mit weiteren Techniken zur Ausweitung von Berechtigungen und zum unbefugten Zugriff auf kritische Ressourcen verkettet lassen kann.
Technische Details
Jinjava-Templates stellen intern die Variable ____int3rpr3t3r____ zur Verfügung, die Zugriff auf die JinjavaInterpreter-Instanz erlaubt. Zwar wurden Maßnahmen ergriffen, um direkte Methodenaufrufe auf JinjavaInterpreter-Instanzen zu unterbinden und bestimmte gefährliche Klassen wie Class oder ClassLoader durch JinjavaBeanELResolver zu sperren — die Klasse JavaType selbst ist jedoch nicht eingeschränkt. Über ____int3rpr3t3r____ lässt sich auf das Feld config zugreifen, das einen ObjectMapper offenlegt. Mit dessen readValue(String content, JavaType valueType)-Methode können Angreifer beliebige Klassen instanziieren, sofern sie die entsprechende JavaType-Repräsentation konstruieren.
Die Möglichkeit, JavaType mittels constructFromCanonical zu erzeugen, erlaubt damit die Umgehung der Sandbox und die Schaffung leistungsfähiger Primitive, ohne direkt gesperrte Methoden aufzurufen.
{% set mapper = ____int3rpr3t3r____.config.objectMapper %}
{{ mapper.enableDefaultTyping() }}
{% set file = mapper.readValue('"file:///etc/passwd"', mapper.getTypeFactory().constructFromCanonical('java.net.URL')) %}
{% set inputStream = file.openStream() %}
{% set bytes = inputStream.readAllBytes() %}
{% set stringType = mapper.getTypeFactory().constructFromCanonical('java.lang.String') %}
{% set content = mapper.convertValue(bytes, stringType) %}
{{ content }}Handlungsempfehlung und Offenlegung
Betroffene Unternehmen werden aufgefordert, Jinjava auf Version 2.8.1 oder höher zu aktualisieren, um die Lücke zu schließen. Die Schwachstelle wurde von den Sicherheitsforschern taisehub und odgrso verantwortungsvoll gemeldet, sodass HubSpot vor der öffentlichen Bekanntgabe einen Patch bereitstellen konnte.
Die Schwachstelle wird unter CWE-1336 eingeordnet — unsachgemäße Neutralisierung spezieller Elemente in Template-Engines — und stellt damit ein gängiges Risiko für Webanwendungen dar. Systemadministratoren sollten prüfen, ob ihre Anwendungen Jinjava verwenden, und die Aktualisierung angesichts der hohen Kritikalität priorisieren.
Auswirkung
Entkommen Sie der Jinjava-Sandbox und instanziieren Sie eine Vielzahl von Klassen mit JavaType.
Diese Funktion kann zum Lesen beliebiger Dateien und zum Ausführen eines vollständigen SSRF-Angriffs durch Erstellen netzwerkbezogener Objekte verwendet werden.
In bestimmten Umgebungen kann diese Primitive je nach den verfügbaren Klassen sogar zur vollständigen Remote-Code-Ausführung führen.
Lesen Sie auch
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
KI-Agenten als interne Sicherheitsrisiken: Was Experimente zeigen
MCP-Sicherheitsstudie: 555 Server mit riskanten Tool-Kombinationen identifiziert
SOX-Compliance in SAP: Anforderungen, IT-Kontrollen und der Weg zur Automatisierung
Irans Cyberoperationen vor „Epic Fury“: Gezielter Infrastrukturaufbau und Hacktivisten-Welle nach den Angriffen
Steuersaison als Angriffsfläche: Phishing-Kampagnen und Malware-Wellen im Überblick
Studien
Drucksicherheit bleibt in vielen KMU ein vernachlässigter Bereich
Sieben Regierungen einigen sich auf 6G-Sicherheitsrahmen
Lieferkettenkollaps und Internetausfall: Unternehmen rechnen mit dem Unwahrscheinlichen
KI als Werkzeug für schnelle, kostengünstige Cyberangriffe
KI beschleunigt Cyberangriffe: IBM X-Force warnt vor wachsenden Schwachstellen in Unternehmen
Whitepaper
Quantifizierung und Sicherheit mit modernster Quantentechnologie
KI-Betrug: Interpol warnt vor industrialisierter Finanzkriminalität – 4,5-fach profitabler
Cloudflare Threat Report 2026: Ransomware beginnt mit dem Login – KI und Botnetze treiben die Industrialisierung von Cyberangriffen
EBA-Folgebericht: Fortschritte bei IKT-Risikoaufsicht unter DORA – weitere Harmonisierung nötig
Böswillige KI-Nutzung erkennen und verhindern: Anthropics neuer Bedrohungsbericht mit Fallstudien
Hamsterrad-Rebell
Sichere Enterprise Browser und Application Delivery für moderne IT-Organisationen
Sicherer Remote-Zugriff (SRA) für Operational Technology (OT) und industrielle Steuerungs- und Produktionssysteme (ICS) – Teil 2
Incident Response Retainer – worauf sollte man achten?
KI‑basierte E‑Mail‑Angriffe: Einfach gestartet, kaum zu stoppen
