Apache XML-RPC könyvtár sérülékenység

CH azonosító

CH-14443

Angol cím

Apache XML-RPC Library Data Deserialization Arbitrary Code Execution Vulnerability

Felfedezés dátuma

2018.06.03.

Súlyosság

Kritikus

Érintett rendszerek

Apache Software Foundation
Apache XML-RPC

Érintett verziók

Apache XML-RPC 3.x

Összefoglaló

Az Apache XML-RPC könyvtár egy kritikus besorolású sérülékenysége vált ismertté, amit kihasználva egy nem hitelesített, távoli támadó tetszőleges kódot hajthat végre a sérülékeny rendszeren.

Leírás

A sérülékenységet a nem megbízható Java objektumok nem megfelelő deszerializációja okozza, amely az “<ex:serializable>” elem feldolgozása során jelentkezik. A káros tartalmú objektum deszerializációja során a támadó tetszőleges kódot futtathat.

Az esetetre jellemző, hogy a sérülékenységet kihasználó Proof-of-concept (PoC) kód is nyilvánosságra került.

Megoldás

Ismeretlen

Megoldás

A szoftver már nem támogatott, vélhetően a fejlesztő nem ad ki javítást a sérülékenységre.


Legfrissebb sérülékenységek
CVE-2023-38823 – Tenda AC routerek sérülékenysége
cve-2023-36439 – Microsoft Exchange szerver sérülékenysége
CVE-2023-23368 – QNAP QTS sérülékenysége
CVE-2023-22518 – Confluence Data Center és Server sérülékenysége
CVE-2023-20273 – Cisco IOS XE Web UI jogosultság kiterjesztés sérülékenysége
CVE-2023-20198 – Cisco IOS XE Web UI sérülékenysége
CVE-2023-4966 – NetScaler ADC és NetScaler Gateway sérülékenysége
CVE-2023-20101 – Cisco Emergency Responder 12.5(1)SU4 sérülékenysége
CVE-2023-22515 – Atlassian Confluence Data Center és Server sérülékenysége
CVE-2023-42793 – JetBrains TeamCity sérülékenysége
Tovább a sérülékenységekhez »