V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-33439
CVE
КритическийПодтвержденаЭксплойт есть

Управление открытым доступом (OpenAM) - это решение для управления доступом. До 16.0.6 OpenIdentityPlatform OpenAM уязвим для предварительн…

CVSS
9.3
Критический
EPSS
0.10
p95
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

Управление открытым доступом (OpenAM) - это решение для управления доступом. До 16.0.6 OpenIdentityPlatform OpenAM уязвим для предварительной аутентификации Удаленной истребительной казни (RCE) посредством небезопасной дезериаализации Java параметра jato.clientSession HTTP. Это обходит смягчение WhitelistObjectInputStream, которое было применено к параметру jato.pageSession после CVE-2021-35464. Неаутентифицированный злоумышленник может добиться произвольного выполнения команды на сервере, отправив созданный сериализированный объект Java в качестве параметра jato.clientSession GET/POST на любую конечную точку JATO ViewBean, чьи JSP содержит теги <jato:form> (например, страницы Сброс пароля). Эта уязвимость зафиксирована в 16.0.6.

Теги · CWE
Без аутентификации
CWE-502
CAPEC-586
Затронутые продукты
Openam < 16.0.6
Вектор CVSS
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требования к атаке
AT: N
None
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Конфиденциальность уязвимой системы
VC: H
Высокое (H)
Целостность уязвимой системы
VI: H
Высокое (H)
Доступность уязвимой системы
VA: H
Высокое (H)
Конфиденциальность последующей системы
SC: N
Отсутствует (N)
Целостность последующей системы
SI: N
Отсутствует (N)
Доступность последующей системы
SA: N
Отсутствует (N)
Зрелость эксплойт-кода
E: X
Not Defined
Требование конфиденциальности
CR: X
Not Defined
Требование целостности
IR: X
Not Defined
Требование доступности
AR: X
Not Defined
Модифицированный вектор атаки
MAV: X
Not Defined
Модифицированная сложность атаки
MAC: X
Not Defined
Модифицированные требования к атаке
MAT: X
Not Defined
Модифицированные требуемые привилегии
MPR: X
Not Defined
Модифицированное взаимодействие с пользователем
MUI: X
Not Defined
Модифицированная конфиденциальность уязвимой системы
MVC: X
Not Defined
Модифицированная целостность уязвимой системы
MVI: X
Not Defined
Модифицированная доступность уязвимой системы
MVA: X
Not Defined
Модифицированная конфиденциальность последующей системы
MSC: X
Not Defined
Модифицированная целостность последующей системы
MSI: X
Not Defined
Модифицированная доступность последующей системы
MSA: X
Not Defined
s
S: X
X
au
AU: X
X
r
R: X
X
v
V: X
X
re
RE: X
X
u
U: X
X
Индикаторы эксплуатации
EPSS
0.105 · p95
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
CVE-2026-33439
github-poc · https://github.com/TheMalwareGuardian/CVE-2026-33439
Enterprise
Затронутые продукты
ПродуктВендорСтатус
Отслеживается
openam*Отслеживается
Источники данных
ANC
CVE