В ненадежной среде JMS, org.springframework.jms.support.converter.MappingJackson2MessageConverter и org.springframework.jms.support.convert…
В ненадежной среде JMS, org.springframework.jms.support.converter.MappingJackson2MessageConverter и org.springframework.jms.support.converter.JacksonJsonMessageConverter допускают произвольную инстанцию класса, что может привести к несанкционированным действиям через дезериаизацию класса гаджетов. Затрагивающие версии: Весенняя структура 7.0.0-7.0.7; 6.2.0-6.2.18; с 6.1.0 до 6.1.27; 5.3,0-5.3.48.
Продукт десериализует ненадёжные данные без достаточной проверки того, что полученные данные окажутся допустимыми.
https://cwe.mitre.org/data/definitions/502.html →Открыть в коллекции CWE →Злоумышленник пытается эксплуатировать приложение путём внедрения дополнительного вредоносного содержимого в процессе обработки сериализованных объектов. Разработчики используют сериализацию для преобразования данных или состояния в статичный двоичный формат с целью сохранения на диск или передачи по сети. Впоследствии эти объекты десериализуются для восстановления данных/состояния. Внедряя некорректный объект в уязвимое приложение, злоумышленник потенциально может скомпрометировать его, манипулируя процессом десериализации. Это может привести к ряду нежелательных последствий, включая удалённое выполнение кода.
https://capec.mitre.org/data/definitions/586.html →Открыть в коллекции CAPEC →