Критическая уязвимость в ряде Java Application Server
Вчера в блоге Apache FSF появилась интересная запись. Уязвимым оказалось практически все ПО, которое использует сериализацию и десереализацию данных совместно с apache commons collections и некоторыми другими библиотеками.
Сама уязвимость была описана 6 ноября, а сегодня Oracle выпустил первые патчи к WebLogic.
Кратко
Тип: Удаленное исполнение кода
Опасность: высокая
Уязвимое ПО: Oracle WebLogic, IBM WebSphere, JBoss, Jenkins, OpenNMS и другое.
Описание: Уязвимость позволяет злоумышленнику создать такой пакет сериализованных данных, который при распаковке заставит уязвимый сервер исполнить произвольный код.
В связи с высокой критичностью, публикую статью так, разбор уязвимости будет в течение часа.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Костыли телеграма: «печатает...» в избранных и «вы сделали скриншот!» в любом чате
- Мы наняли дипфейк: как фальшивый кандидат прошёл все этапы собеседования
- CVE-2026-3502 в TrueConf: как доверенный механизм обновлений превратился в вектор атаки
- PLONK: разбираем уязвимости криптографического протокола
- Spark_news: «Пятёрочка» учредила День перехода на электронные чеки
- AI Practiq: ИИ-агенты для бизнеса: что это и зачем (без кода и технического бэкграунда)
- МояДоска: 3 сервиса для mind mapping: как легко собрать интеллект-карту в 2026 году
- Android. Три буквы. Российские приложения
- «Музыка на костях», или как современный ИТ-бизнес лишил пользователей субъектности
- Соцсети, соседи и лайки: как глубоко налоговая анализирует ваши связи?