CVE

Vulnerabilidad en XXL-RPC (CVE-2023-45146)

Severidad:
CRÍTICA
Type:
CWE-502 Deserialización de datos no confiables
Fecha de publicación:
18/10/2023
Última modificación:
30/10/2023

Descripción

XXL-RPC es un framework RPC distribuido de alto rendimiento. Con él, se puede configurar un servidor TCP utilizando el marco Netty y el mecanismo de serialización de Hesse. Cuando se utiliza dicha configuración, los atacantes pueden conectarse al servidor y proporcionar objetos serializados maliciosos que, una vez deseriaizados, lo obligan a ejecutar código arbitrario. Se puede abusar de esto para tomar el control de la máquina que ejecuta el servidor mediante la ejecución remota de código. Este problema no se ha solucionado.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 10.00 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
10.00
Severidad 3.x
CRÍTICA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:xxl-rpc_project:xxl-rpc:*:*:*:*:*:*:*:* 1.7.0 (incluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información