Unauthorized access to Class instance in Jinjava

2022-02-0900:33:56

Google

osv.dev

0.001 Low

EPSS

Percentile

40.8%

JSON

Jinjava before 2.5.4 allow access to arbitrary classes by calling Java methods on objects passed into a Jinjava context. This could allow for abuse of the application class loader, including Arbitrary File Disclosure.

CPENameOperatorVersion
com.hubspot.jinjava:jinjavaeq2.1.10
com.hubspot.jinjava:jinjavaeq2.4.8
com.hubspot.jinjava:jinjavaeq2.4.14
com.hubspot.jinjava:jinjavaeq2.0.11-java7
com.hubspot.jinjava:jinjavaeq2.1.2
com.hubspot.jinjava:jinjavaeq2.1.6
com.hubspot.jinjava:jinjavaeq1.0.6
com.hubspot.jinjava:jinjavaeq2.1.13
com.hubspot.jinjava:jinjavaeq2.4.4
com.hubspot.jinjava:jinjavaeq1.0.5

Name	Operator	Version
com.hubspot.jinjava:jinjava	eq	2.1.10
com.hubspot.jinjava:jinjava	eq	2.4.8
com.hubspot.jinjava:jinjava	eq	2.4.14
com.hubspot.jinjava:jinjava	eq	2.0.11-java7
com.hubspot.jinjava:jinjava	eq	2.1.2
com.hubspot.jinjava:jinjava	eq	2.1.6
com.hubspot.jinjava:jinjava	eq	1.0.6
com.hubspot.jinjava:jinjava	eq	2.1.13
com.hubspot.jinjava:jinjava	eq	2.4.4
com.hubspot.jinjava:jinjava	eq	1.0.5