Informazioni sul CVE-2025-27107

Integrated Scripting vulnerable to arbitrary code execution via Java reflection

CWE ID: CWE-74

Base Score (CVSS): 8.6

CVE: CVE-2025-27107

Descrizione: L’integrazione dello scripting è uno strumento per creare script per gestire operazioni complesse in Integrated Dynamics. Gli utenti di Minecraft che utilizzano l’integrazione dello scripting prima di versioni 1.21.1-1.0.17, 1.21.4-1.0.9-254, 1.20.1-1.0.13, e 1.19.2-1.0.10 potrebbero essere vulnerabili a esecuzione di codice arbitrario. Utilizzando Java reflection su un oggetto di eccezione lanciata, è possibile eludere il sandbox JavaScript per IntegrazioneScripting’s Variable Cards, e sfruttare tale per costruire classi Java arbitrarie e invocare metodi arbitrari Java. Questa vulnerabilità consente l’esecuzione di metodi Java arbitrari, e di conseguenza l’esecuzione di codice nativo, ad esempio da `java.lang.Runtime.exec`, sul Minecraft server da parte di qualsiasi giocatore con la capacità di creare e utilizzare una Variable Card di IntegrazioneScripting. Versioni 1.21.1-1.0.17, 1.21.4-1.0.9-254, 1.20.1-1.0.13, e 1.19.2-1.0.10 correggono il problema.

Vettore di attacco

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 0.0 (None)

Riassunto: .

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione

Riferimenti esterni

Prodotti interessati

CyclopsMC – IntegratedScripting

Relazioni con altri prodotti

Produttore:CyclopsMC
Prodotto: IntegratedScripting
Anno: 2025
CWE: CWE-74
CVSS: 8.6