CVE-2021-23758

ajaxpro.2 versões anteriores à 21.11.29.1

O problema está relacionado à deserialização de dados não confiáveis, o que pode ser explorado para obter execução remota de código. Isso ocorre devido à possibilidade de deserialização de classes .NET arbitrárias. Um invasor pode explorar isso enviando uma carga útil para o deserializador, resultando na execução de comandos. A vulnerabilidade é atribuída à confiança na serialização de objetos Java, onde os desenvolvedores podem deserializar objetos antes da autenticação, permitindo que um invasor execute funções, incluindo comandos locais do sistema operacional, combinando os métodos readObject() de várias classes disponíveis no classpath do aplicativo vulnerável.

Para versões anteriores à 21.11.29.1, atualize para a versão mais recente no GitHub para corrigir o problema. Como solução temporária, considere restringir a deserialização de dados não confiáveis para minimizar o risco de exploração. Evite usar fontes não confiáveis para baixar DLLs binárias, especialmente de sites que não sejam o repositório oficial.