CH azonosító
CH-14443Angol cím
Apache XML-RPC Library Data Deserialization Arbitrary Code Execution VulnerabilityFelfedezés dátuma
2018.06.03.Súlyosság
KritikusÖsszefoglaló
Az Apache XML-RPC könyvtár egy kritikus besorolású sérülékenysége vált ismertté, amit kihasználva egy nem hitelesített, távoli támadó tetszőleges kódot hajthat végre a sérülékeny rendszeren.
Leírás
A sérülékenységet a nem megbízható Java objektumok nem megfelelő deszerializációja okozza, amely az “<ex:serializable>” elem feldolgozása során jelentkezik. A káros tartalmú objektum deszerializációja során a támadó tetszőleges kódot futtathat.
Az esetetre jellemző, hogy a sérülékenységet kihasználó Proof-of-concept (PoC) kód is nyilvánosságra került.
Megoldás
IsmeretlenMegoldás
A szoftver már nem támogatott, vélhetően a fejlesztő nem ad ki javítást a sérülékenységre.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: tools.cisco.com
CVE-2016-5003 - NVD CVE-2016-5003