漏洞标题
N/A
漏洞描述信息
在infinispan 9.1.0.Final之前的某些事件,hotrod Java客户端会自动解析字节数组消息内容。恶意用户可以通过注入一个 specially-crafted的序列化对象来获取远程代码执行或其他攻击。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The hotrod java client in infinispan before 9.1.0.Final automatically deserializes bytearray message contents in certain events. A malicious user could exploit this flaw by injecting a specially-crafted serialized object to attain remote code execution or conduct other attacks.
CVSS信息
N/A
漏洞类别
对特殊元素的转义处理不恰当
漏洞标题
Infinispan hotrod java客户端安全漏洞
漏洞描述信息
Infinispan是Infinispan团队的一套基于Java的开源的分布式数据存储和数据网格平台。hotrod java client是其中的一个基于Java的hotrod客户端。 Infinispan 9.1.0.Final之前版本中的hotrod java客户端存在远程代码执行漏洞。远程攻击者可通过注入特制的序列化对象利用该漏洞在受影响应用程序的上下文中执行任意代码。
CVSS信息
N/A
漏洞类别
代码问题