CVE-2026-2586: GlassFish 管理控制台中的认证 RCE

执行摘要

Eclipse GlassFish 管理控制台中存在一个经过身份验证的远程代码执行漏洞，跟踪编号为 CVE-2026-2586，CVSS 评分为 9.1（严重），允许拥有有效面板凭证的攻击者以应用程序服务用户的权限执行任意操作系统命令。该缺陷存在于管理控制台处理精心构造的 HTTP 请求的方式中 —— 能够访问管理界面的用户可以发送特别构造的有效载荷，绕过输入验证并直接调用系统命令。截至 2026 年 5 月 20 日，Eclipse 基金会尚未发布补丁或缓解指导。在生产环境中运行 GlassFish 的防御者应立即将管理控制台视为特权攻击面，并限制对受信任网络和用户的访问。

技术分析

根据 Eclipse 基金会安全工作组跟踪的漏洞披露（GitLab 上的问题 #87），CVE-2026-2586 是 GlassFish 管理控制台中的一个经过身份验证的命令注入缺陷。控制台默认通常暴露在 TCP 端口 4848 上，通过 HTTP 请求接受管理操作。已经通过身份验证的攻击者 —— 无论是通过默认凭证、被盗会话令牌还是被入侵的账户 —— 可以精心构造请求，将操作系统命令注入到控制台随后传递给 shell 执行上下文的参数中。

CVSS 9.1 的评分反映了攻击复杂度低（除了身份验证之外不需要特殊条件）、对机密性、完整性和可用性的影响高，以及漏洞可以通过网络被利用的事实。范围没有变化，意味着被入侵的组件与易受攻击的组件相同 —— 应用程序服务用户上下文。截至本文撰写时，Eclipse 安全团队尚未公开详细说明接受注入的确切参数或端点，这与补丁可用前的责任披露实践一致。

GlassFish 是一个开源的 Jakarta EE 应用程序服务器，在企业环境中广泛使用，特别是在遗留或迁移路径部署中。管理控制台通常出于操作方便而保持启用状态，在许多配置中，它可以从内部企业网络访问，而无需额外的身份验证层，只需内置的凭证检查。漏洞的经过身份验证的性质意味着凭证盗窃、暴力破解攻击或内部威胁是主要的攻击向量；然而，默认凭证（admin/admin）在未硬化的安装中仍然是一个已知问题。

缓解措施与建议

在 Eclipse 基金会发布安全补丁之前，防御者应将 GlassFish 管理控制台视为关键风险面。最有效的缓解措施是限制对控制台界面的网络访问 —— 将其绑定到 localhost（127.0.0.1）或放置在执行多因素身份验证的 VPN 或堡垒主机后面。如果无法对控制台进行防火墙保护，则完全禁用它，方法是删除或重命名 GlassFish 部署中的管理控制台 Web 应用程序，或将 asadmin 命令行界面设置为唯一的管理通道。

组织应审计所有具有对 GlassFish 实例的管理员访问权限的账户，轮换凭证，并启用所有管理控制台请求的日志记录。监控系统日志中异常命令执行模式 —— 特别是从 GlassFish 服务账户调用 shell 解释器（cmd.exe、/bin/sh、/bin/bash）。在 GlassFish 暴露于互联网的环境中，应立即优先进行补救，因为管理界面中的经过身份验证的 RCE 漏洞经常成为勒索软件和初始访问经纪人的目标。