Apache XML-RPC könyvtár sérülékenység
Angol cím: 
Apache XML-RPC Library Data Deserialization Arbitrary Code Execution Vulnerability
CERT-Hungary ID: 
CH-14443
Felfedezés dátuma: 
2018-06-04
Összefoglaló: 

Az Apache XML-RPC könyvtár egy kritikus besorolású sérülékenysége vált ismertté, amit kihasználva egy nem hitelesített, távoli támadó tetszőleges kódot hajthat végre a sérülékeny rendszeren.

Leírás: 

A sérülékenységet a nem megbízható Java objektumok nem megfelelő deszerializációja okozza, amely az "<ex:serializable>" elem feldolgozása során jelentkezik. A káros tartalmú objektum deszerializációja során a támadó tetszőleges kódot futtathat.

Az esetetre jellemző, hogy a sérülékenységet kihasználó Proof-of-concept (PoC) kód is nyilvánosságra került.

Megoldás: 
Ismeretlen
Megoldás: 

A szoftver már nem támogatott, vélhetően a fejlesztő nem ad ki javítást a sérülékenységre.

Érintett verziók: 
Apache XML-RPC 3.x