CRITICAL🇬🇧 English

CVE-2023-49886

RCE przez niebezpieczną deserializację Java w IBM Standards Processing Engine

CVSS 9.8v3.1pub. 2025-10-06upd. 2025-10-16

IBM Standards Processing Engine 10.0.1.10 zawiera krytyczną podatność umożliwiającą zdalne wykonanie kodu (RCE) poprzez niebezpieczną deserializację Java. Atakujący nieuwierzytelniony zdalnie może przejąć pełną kontrolę nad systemem bez jakiejkolwiek interakcji użytkownika.

Pokaż oryginał (EN)

IBM Standards Processing Engine 10.0.1.10 could allow a remote attacker to execute arbitrary code on the system, caused by an unsafe java deserialization. By sending specially crafted input, an attacker could exploit this vulnerability to execute arbitrary code on the system.

🤖 Analiza AI
Jak działa

Podatność wynika z niebezpiecznej deserializacji danych w Java (CWE-502). Atakujący wysyła specjalnie spreparowane dane wejściowe do podatnego komponentu, które podczas deserializacji są przetwarzane w sposób niekontrolowany. Mechanizm ten pozwala na wykonanie dowolnego kodu po stronie serwera bez konieczności uwierzytelnienia.

Skutki

Udane wykorzystanie podatności pozwala atakującemu na zdalne wykonanie dowolnego kodu na serwerze, co może prowadzić do pełnego przejęcia systemu, ujawnienia danych, ich modyfikacji lub uniemożliwienia działania usługi.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://www.ibm.com/support/pages/node/7247179

Kogo dotyczy

IBM Standards Processing Engine w wersji 10.0.1.10, będący komponentem produktu IBM Transformation Extender Advanced.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • IBM Transformation Extender Advanced

    APP
    Ibm
    10.0.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDeserialization
CWE
Referencje

Powiązane podatności

CVE-2017-1758HIGH7.1ten sam produkt

IBM Financial Transaction Manager for ACH Services for Multi-Platform (IBM Control Center 6.0 and 6.1, IBM Fin...

CVE-2023-49881MEDIUM6.3ten sam produkt

IBM Transformation Extender Advanced 10.0.1 does not invalidate session after logout which could allow an au...

CVE-2023-49883MEDIUM5.9ten sam produkt

IBM Transformation Extender Advanced 10.0.1 does not require that users should have strong passwords by ...

CVE-2023-50300MEDIUM5.1ten sam produkt

IBM Transformation Extender Advanced 10.0.1 could allow a local user to perform unauthorized actions due t...

CVE-2021-29883MEDIUM4.3ten sam produkt

IBM Standards Processing Engine (IBM Transformation Extender Advanced 9.0 and 10.0) does not set the secure at...

CVE-2023-49886 — RCE przez niebezpieczną deserializację Java w IBM Standards Processing Engine — CRITICAL 9.8 | CVEbaza.pl