漏洞标题
N/A
漏洞描述信息
当一个应用程序具有不受支持的Codehaus从1.7.0到2.4.3版本的Groovy版本,以及在类路径上使用的Apache Groovy 2.4.4到2.4.7版本,它使用标准的Java序列化机制,例如在服务器之间进行通信或存储本地数据时,攻击者可能构建出一个特殊的序列化对象,当反序列化时将直接执行代码。所有依赖序列化且未隔离反序列化代码的应用程序都受到了这个漏洞的影响。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
When an application with unsupported Codehaus versions of Groovy from 1.7.0 to 2.4.3, Apache Groovy 2.4.4 to 2.4.7 on classpath uses standard Java serialization mechanisms, e.g. to communicate between servers or to store local data, it was possible for an attacker to bake a special serialized object that will execute code directly when deserialized. All applications which rely on serialization and do not isolate the code which deserializes objects were subject to this vulnerability.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apache Groovy 代码问题漏洞
漏洞描述信息
Apache Groovy是美国阿帕奇(Apache)软件基金会的一种基于Java平台面向对象的编程语言,它结合了Python、Ruby和Smalltalk的许多强大的特性。 Apache Groovy 2.4.4版本至2.4.7版本和1.7.0版本至2.4.3版本中存在远程代码执行漏洞。攻击者可通过制作序列化对象利用该漏洞在用户运行的受影响应用程序上下文中执行任意代码,造成拒绝服务。
CVSS信息
N/A
漏洞类别
代码问题