Legion of the Bouncy Castle Legion of the Bouncy Castle Java Cryptography APIs с 1.58 до 1.60 (не включая) содержит CWE-470: Использование …

Legion of the Bouncy Castle Legion of the Bouncy Castle Java Cryptography APIs с 1.58 до 1.60 (не включая) содержит CWE-470: Использование внешнего ввода для выбора классов или кода ('Unsafe Reflection') уязвимость в десериализации закрытого ключа XMSS/XMSS^MT, которая может привести к выполнению неожиданного кода при десериализации закрытого ключа XMSS/XMSS^MT. Эта атака, по-видимому, может быть использована, если вручную созданный закрытый ключ может включать ссылки на неожиданные классы, которые будут выбраны из пути класса для выполняемого приложения. Эта уязвимость, по-видимому, была исправлена в версии 1.60 и более поздних.