In Jboss Application Server as shipped with Red Hat Enterprise Application Platform 5.2, it was found that the doFilter method in the ReadOnlyAccessFilter of the HTTP Invoker does not restrict classes for which it performs deserialization and thus allowing an attacker to execute arbitrary code via crafted serialized data.
oryginał ENCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HRed Hat Jboss Enterprise Application Platform
APPRedhat5.0.05.0.15.1.05.1.15.1.25.2.05.2.15.2.2
CISA KEV — szczegółyi
- Dostawcai
- Red Hat ↗
- Produkti
- JBoss Application Server
- Data dodania do KEVi
- 10 grudnia 2021
- Termin remediation (USA)i
- 10 czerwca 2022(po terminie)
- Ransomwarei
- Aktywne kampanie ransomware używają tej podatności
Zastosuj aktualizacje zgodnie z instrukcjami producenta.
▸ Pokaż oryginał (EN)
Apply updates per vendor instructions.
Serwer aplikacji JBoss dostarczany wraz z Red Hat Enterprise Application Platform 5.2 pozwala atakującemu na wykonanie dowolnego kodu za pomocą spreparowanych danych serializowanych.
▸ Pokaż oryginał (EN)
The JBoss Application Server, shipped with Red Hat Enterprise Application Platform 5.2, allows an attacker to execute arbitrary code via crafted serialized data.
Powiązane podatności
Brak walidacji nagłówka Host w serwerze Undertow HTTP
A flaw was found when an OpenSSL security provider is used with Wildfly, the 'enabled-protocols' value in the ...
A flaw was discovered in jackson-databind in versions before 2.9.10, 2.8.11.5 and 2.6.7.3, where it would perm...
HttpObjectDecoder.java in Netty before 4.1.44 allows an HTTP header that lacks a colon, which might be interpr...
HttpObjectDecoder.java in Netty before 4.1.44 allows a Content-Length header to be accompanied by a second Con...