Katalog CVE

CVE-2026-57527

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Dodatek ViewState dla Zed Attack Proxy (ZAP) przed wersją 4 zawiera podatność na niezabezpieczoną deserializację, która umożliwia atakującym kontrolującym serwer proxy osiągnięcie zdalnego wykonania kodu poprzez osadzenie złośliwego, serializowanego obiektu Java w parametrze odpowiedzi HTTP javax.faces.ViewState. Metoda JSFViewState.decode() dekoduje wartość ViewState z base64 i przekazuje ją bezpośrednio do ObjectInputStream.readObject() bez filtra deserializacji, listy dozwolonych typów ani ograniczeń, co powoduje deserializację złośliwego obiektu w JVM ZAP podczas renderowania panelu ViewState w interfejsie Desktop UI.

Ocena ryzyka

Atakujący może zdalnie wykonać dowolny kod w kontekście aplikacji ZAP, co może prowadzić do przejęcia kontroli nad narzędziem, kradzieży danych lub dalszego ataku na infrastrukturę organizacji.

Rekomendacja

Należy natychmiast zaktualizować dodatek ViewState do wersji 4 lub nowszej, która usuwa podatność. Jeśli aktualizacja nie jest możliwa, należy tymczasowo wyłączyć dodatek lub ograniczyć dostęp do ZAP tylko dla zaufanych serwerów proxy.

Oryginalny opis (angielski, źródło NVD)

Zed Attack Proxy (ZAP) ViewState add-on before version 4 contains an insecure deserialization vulnerability that allows attackers who control a proxied web server to achieve arbitrary code execution by embedding a malicious serialized Java object in the javax.faces.ViewState HTTP response parameter. The JSFViewState.decode() method base64-decodes the ViewState value and passes it directly to ObjectInputStream.readObject() without a deserialization filter, allowlist, or type restriction, causing the malicious object to be deserialized within the ZAP JVM when the Desktop UI renders the ViewState panel.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS