Apache XML-RPC könyvtár sérülékenység

CH azonosító

CH-14443

Angol cím

Apache XML-RPC Library Data Deserialization Arbitrary Code Execution Vulnerability

Felfedezés dátuma

2018.06.03.

Súlyosság

Kritikus

Érintett rendszerek

Apache Software Foundation
Apache XML-RPC

Érintett verziók

Apache XML-RPC 3.x

Összefoglaló

Az Apache XML-RPC könyvtár egy kritikus besorolású sérülékenysége vált ismertté, amit kihasználva egy nem hitelesített, távoli támadó tetszőleges kódot hajthat végre a sérülékeny rendszeren.

Leírás

A sérülékenységet a nem megbízható Java objektumok nem megfelelő deszerializációja okozza, amely az “<ex:serializable>” elem feldolgozása során jelentkezik. A káros tartalmú objektum deszerializációja során a támadó tetszőleges kódot futtathat.

Az esetetre jellemző, hogy a sérülékenységet kihasználó Proof-of-concept (PoC) kód is nyilvánosságra került.

Megoldás

Ismeretlen

Megoldás

A szoftver már nem támogatott, vélhetően a fejlesztő nem ad ki javítást a sérülékenységre.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-11198 – Juniper Networks Security Director Policy Enforcer sérülékenysége
CVE-2025-59975 – Juniper Networks Junos Space sérülékenysége
CVE-2025-59964 – Juniper Networks Junos OS sérülékenysége
CVE-2025-60004 – Juniper Networks Junos OS and Junos OS Evolved sérülékenysége
CVE-2025-59968 – Juniper Networks Junos Space Security Director sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége
Tovább a sérülékenységekhez »