IBM Standards Processing Engine 10.0.1.10 zawiera krytyczną podatność umożliwiającą zdalne wykonanie kodu (RCE) poprzez niebezpieczną deserializację Java. Atakujący nieuwierzytelniony zdalnie może przejąć pełną kontrolę nad systemem bez jakiejkolwiek interakcji użytkownika.
▸ Pokaż oryginał (EN)
IBM Standards Processing Engine 10.0.1.10 could allow a remote attacker to execute arbitrary code on the system, caused by an unsafe java deserialization. By sending specially crafted input, an attacker could exploit this vulnerability to execute arbitrary code on the system.
Podatność wynika z niebezpiecznej deserializacji danych w Java (CWE-502). Atakujący wysyła specjalnie spreparowane dane wejściowe do podatnego komponentu, które podczas deserializacji są przetwarzane w sposób niekontrolowany. Mechanizm ten pozwala na wykonanie dowolnego kodu po stronie serwera bez konieczności uwierzytelnienia.
Udane wykorzystanie podatności pozwala atakującemu na zdalne wykonanie dowolnego kodu na serwerze, co może prowadzić do pełnego przejęcia systemu, ujawnienia danych, ich modyfikacji lub uniemożliwienia działania usługi.
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://www.ibm.com/support/pages/node/7247179
IBM Standards Processing Engine w wersji 10.0.1.10, będący komponentem produktu IBM Transformation Extender Advanced.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HIBM Transformation Extender Advanced
APPIbm10.0.1
Powiązane podatności
IBM Financial Transaction Manager for ACH Services for Multi-Platform (IBM Control Center 6.0 and 6.1, IBM Fin...
IBM Transformation Extender Advanced 10.0.1 does not invalidate session after logout which could allow an au...
IBM Transformation Extender Advanced 10.0.1 does not require that users should have strong passwords by ...
IBM Transformation Extender Advanced 10.0.1 could allow a local user to perform unauthorized actions due t...
IBM Standards Processing Engine (IBM Transformation Extender Advanced 9.0 and 10.0) does not set the secure at...