Apache MINA's AbstractIoBuffer.resolveClass() содержит две ветви, одна из которых (для статических классов или примитивных типов) вообще не…
Apache MINA's AbstractIoBuffer.resolveClass() содержит две ветви, одна из которых (для статических классов или примитивных типов) вообще не проверяет класс, минуя список разрешений на класс и позволяя выполнять произвольный код. Исправление проверяет, присутствует ли класс в используемом фильтре класса перед вызовом Class.forName(). Затронуто версиями являются Apache MINA 2.0.0 <= 2.0.27, 2.1.0 <= 2.1.10, и 2.2.0 <= 2.2.5. Проблема решается в Apache MINA 2.0.28, 21.1.11 и 2.2.6 Применение списка разрешенных названий класса ранее. Пострадали приложения с использованием Apache MINA, которые называют IoBuffer.getObject(). Приложения с использованием Apache MINA рекомендуется обновить.
Продукт десериализует ненадёжные данные без достаточной проверки того, что полученные данные окажутся допустимыми.
https://cwe.mitre.org/data/definitions/502.html →Открыть в коллекции CWE →Злоумышленник пытается эксплуатировать приложение путём внедрения дополнительного вредоносного содержимого в процессе обработки сериализованных объектов. Разработчики используют сериализацию для преобразования данных или состояния в статичный двоичный формат с целью сохранения на диск или передачи по сети. Впоследствии эти объекты десериализуются для восстановления данных/состояния. Внедряя некорректный объект в уязвимое приложение, злоумышленник потенциально может скомпрометировать его, манипулируя процессом десериализации. Это может привести к ряду нежелательных последствий, включая удалённое выполнение кода.
https://capec.mitre.org/data/definitions/586.html →Открыть в коллекции CAPEC →