一、 漏洞 CVE-2016-0363 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
IBM SDK中,Java Technology Edition 6前SR16 FP25(6.0.16.25),6 R1前SR8 FP25(6.1.8.25),7前SR9 FP40(7.0.9.40),7 R1前SR3 FP40(7.1.3.40),以及8前SR3(8.0.3.0)在AccessController doPrivileged块中使用java.lang.reflect.Method类的invoke方法,这允许远程攻击者通过与实现java.lang.reflect.InvocationHandler接口的代理对象实例相关的向量绕过沙盒保护机制,来调用setSecurityManager方法。请注意,这个漏洞存在的原因是CVE-2013-3009漏洞的 incomplete 修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The com.ibm.CORBA.iiop.ClientDelegate class in IBM SDK, Java Technology Edition 6 before SR16 FP25 (6.0.16.25), 6 R1 before SR8 FP25 (6.1.8.25), 7 before SR9 FP40 (7.0.9.40), 7 R1 before SR3 FP40 (7.1.3.40), and 8 before SR3 (8.0.3.0) uses the invoke method of the java.lang.reflect.Method class in an AccessController doPrivileged block, which allows remote attackers to call setSecurityManager and bypass a sandbox protection mechanism via vectors related to a Proxy object instance implementing the java.lang.reflect.InvocationHandler interface. NOTE: this vulnerability exists because of an incomplete fix for CVE-2013-3009.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
IBM SDK, Java Technology Edition 输入验证错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
IBM SDK, Java Technology Edition是美国IBM公司的一款用于Java应用程序开发的软件开发工具包。ecto是elixir-ecto开源的一个用于数据映射和语言集成查询的工具包。 IBM SDK, Java Technology Edition中的com.ibm.CORBA.iiop.ClientDelegate类存在输入验证错误漏洞,该漏洞源于程序调用AccessController doPrivileged块中的‘java.lang.reflect’方法。远程攻击者可利用该
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
输入验证错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2016-0363 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2016-0363 的情报信息