PT-2020-2099 · Apache+1 · Apache Xml-Rpc+1
Guillaume Teissier
·
Publicado
2020-01-23
·
Atualizado
2024-01-22
·
CVE-2019-17570
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Apache XML-RPC (versões afetadas não especificadas)
Descrição
O problema está relacionado a um erro de desserialização não confiável no método
org.apache.xmlrpc.parser.XmlRpcResponseParser:addResult da biblioteca Apache XML-RPC. Esse erro está associado à desserialização de exceções do lado do servidor serializadas no atributo faultCause das mensagens de resposta de erro do XML-RPC. A exploração dessa vulnerabilidade poderia permitir que um invasor remoto acessasse dados confidenciais, comprometesse a integridade dos dados e causasse uma negação de serviço. Um servidor XML-RPC malicioso poderia atacar um cliente XML-RPC, fazendo com que ele executasse código arbitrário.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Xml-Rpc
Ubuntu