Red Hat JBoss A-MQ 6.x; BPM Suite (BPMS) 6.x; BRMS 6.x и 5.x; Data Grid (JDG) 6.x; Data Virtualization (JDV) 6.x и 5.x; Enterprise Applicat…
Red Hat JBoss A-MQ 6.x; BPM Suite (BPMS) 6.x; BRMS 6.x и 5.x; Data Grid (JDG) 6.x; Data Virtualization (JDV) 6.x и 5.x; Enterprise Application Platform 6.x, 5.x и 4.3.x; Fuse 6.x; Fuse Service Works (FSW) 6.x; Operations Network (JBoss ON) 3.x; Portal 6.x; SOA Platform (SOA-P) 5.x; Web Server (JWS) 3.x; Red Hat OpenShift/xPAAS 3.x; и Red Hat Subscription Asset Manager 1.3 позволяют удаленным злоумышленникам выполнять произвольные команды через специально созданный сериализованный объект Java, связанный с библиотекой Apache Commons Collections (ACC).
Продукт десериализует ненадёжные данные без достаточной проверки того, что полученные данные окажутся допустимыми.
https://cwe.mitre.org/data/definitions/502.html →Открыть в коллекции CWE →Злоумышленник пытается эксплуатировать приложение путём внедрения дополнительного вредоносного содержимого в процессе обработки сериализованных объектов. Разработчики используют сериализацию для преобразования данных или состояния в статичный двоичный формат с целью сохранения на диск или передачи по сети. Впоследствии эти объекты десериализуются для восстановления данных/состояния. Внедряя некорректный объект в уязвимое приложение, злоумышленник потенциально может скомпрометировать его, манипулируя процессом десериализации. Это может привести к ряду нежелательных последствий, включая удалённое выполнение кода.
https://capec.mitre.org/data/definitions/586.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| ImageMagick | Отслеживается | |
| activemq | Отслеживается | |
| apache-commons-collections | Отслеживается | |
| apache-commons-collections-eap6 | Отслеживается | |
| apache-commons-collections-eap6 | Отслеживается | |
| apache-commons-collections-eap6 | Отслеживается | |
| apache-commons-collections-eap6 | Отслеживается | |
| apache-commons-collections-eap6 | Отслеживается | |
| apache-commons-collections-eap6 | Отслеживается | |
| apache-commons-collections-eap6 | Отслеживается | |
| apache-commons-collections-eap6 | Отслеживается | |
| apache-commons-collections-eap6 | Отслеживается | |
| hibernate4-eap6 | Отслеживается | |
| hibernate4-eap6 | Отслеживается | |
| hibernate4-eap6 | Отслеживается | |
| hornetq | Отслеживается | |
| hornetq | Отслеживается | |
| hornetq | Отслеживается | |
| ironjacamar-eap6 | Отслеживается | |
| ironjacamar-eap6 | Отслеживается |