CVE-2015-7450
CVE-2015-7450
Em resumo
Uma falha em produtos IBM permite que atacantes executem comandos arbitrários em um servidor ao enviar dados especialmente preparados. O problema ocorre porque os produtos usam um componente de biblioteca que não valida adequadamente os dados recebidos.
Detalhe técnico
Atacantes remotos podem explorar desserialização insegura de objetos Java através da classe InvokerTransformer na biblioteca Apache Commons Collections para alcançar execução remota de código. O ataque não requer autenticação e pode ser disparado enviando um objeto serializado malformado para produtos IBM afetados, resultando em comprometimento total do sistema.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Serialized-object interfaces in certain IBM analytics, business solutions, cognitive, IT infrastructure, and mobile and social products allow remote attackers to execute arbitrary commands via a crafted serialized Java object, related to the InvokerTransformer class in the Apache Commons Collections library.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 2
cve_referencewww.exploit-db.com/exploits/41613/não verificadoexploitdbwww.exploit-db.com/exploits/41613não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2015-7450https://www.exploit-db.com/exploits/41613/http://www-01.ibm.com/support/docview.wss?uid=swg21970575http://www-01.ibm.com/support/docview.wss?uid=swg21971342http://www-01.ibm.com/support/docview.wss?uid=swg21971376http://www-01.ibm.com/support/docview.wss?uid=swg21971733http://www-01.ibm.com/support/docview.wss?uid=swg21971758http://www-01.ibm.com/support/docview.wss?uid=swg21972799http://www.securityfocus.com/bid/77653http://www.securitytracker.com/id/1035125