Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

0-day w serwerze aplikacyjnym WebLogic był jeszcze niedawno aktywnie wykorzystywany

06 maja 2019, 20:38 | W biegu | 1 komentarz

Podatność o niemal maksymalnym ryzyku (9.8/10 w skali CVE) została ostatnio załatana w nadzwyczajnym trybie. Można by sądzić że po tym opracowaniu, mającym już kilka lat – podatności klasy nieuwierzytelnione RCE w komponencie związanym z deserializacją nie powinny się już zdarzać w serwerach aplikacyjnych

A tym czasem niespodzianka – mamy właśnie wykonanie kodu poprzez javową deserializację w serwerze aplikacyjnym WebLogic. Co więcej nie wymaga ona uwierzytelnienia i zapewne jest jeszcze aktywnie wykorzystywana.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Ds
    Odpowiedz

Odpowiedz