Katalog CVE

CVE-2026-33439

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Open Access Management (OpenAM) przed wersją 16.0.6 jest podatny na zdalne wykonanie kodu (RCE) przed uwierzytelnieniem, z powodu niebezpiecznej deserializacji Java parametru jato.clientSession. Atakujący może wysłać spreparowany obiekt Java jako parametr GET/POST, co pozwala na wykonanie dowolnych poleceń na serwerze.

Ocena ryzyka

Podatność ta umożliwia nieautoryzowanym atakującym zdalne wykonanie kodu, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych w organizacji.

Rekomendacja

Zaleca się aktualizację OpenAM do wersji 16.0.6 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak monitorowanie i ograniczenie dostępu do krytycznych punktów końcowych.

Oryginalny opis (angielski, źródło NVD)

Open Access Management (OpenAM) is an access management solution. Prior to 16.0.6, OpenIdentityPlatform OpenAM is vulnerable to pre-authentication Remote Code Execution (RCE) via unsafe Java deserialization of the jato.clientSession HTTP parameter. This bypasses the WhitelistObjectInputStream mitigation that was applied to the jato.pageSession parameter after CVE-2021-35464. An unauthenticated attacker can achieve arbitrary command execution on the server by sending a crafted serialized Java object as the jato.clientSession GET/POST parameter to any JATO ViewBean endpoint whose JSP contains <jato:form> tags (e.g., the Password Reset pages). This vulnerability is fixed in 16.0.6.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS