CVE-2026-10538
WysokieCVSS 8.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
Podatność w funkcjonalności konsumenta komunikatów w nieobsługiwanych wersjach Control-M/Server i Control-M/Enterprise Manager 9.0.20.x i wcześniejszych umożliwia deserializację danych kontrolowanych przez użytkownika bez wystarczającego ograniczenia dozwolonych typów obiektów. Może to pozwolić uwierzytelnionemu atakującemu na wywołanie niezamierzonego zachowania po stronie serwera poprzez spreparowaną serializowaną zawartość.
Ocena ryzyka
Ryzyko polega na możliwości zdalnego wykonania kodu lub innych nieautoryzowanych działań na serwerze przez uwierzytelnionego atakującego, co może prowadzić do naruszenia poufności, integralności lub dostępności systemu.
Rekomendacja
Należy natychmiast zaktualizować Control-M/Server i Control-M/Enterprise Manager do wspieranej wersji, która zawiera poprawkę zabezpieczającą przed deserializacją niezaufanych danych.
Oryginalny opis (angielski, źródło NVD)
Messaging consumer functionality allows deserialization of user-controlled data without sufficient restriction of allowed object types in the out of support Control-M/Server and Control-M/Enterprise Manager versions 9.0.20.x and potentially earlier. This issue may allow an authenticated attacker to trigger unintended server-side behavior through crafted serialized content.

