OpenNMS Java 对象反序列化 RCE
critical Nessus 插件 ID 87311
语言:
简介
远程 OpenNMS 服务器受到一个远程代码执行漏洞的影响。描述
远程 OpenNMS 服务器受到一个远程代码执行漏洞的影响,造成该漏洞的原因是未经认证的 Java 对象对 Apache Commons Collections (ACC) 库不安全的反序列化调用。未经身份验证的远程攻击者可通过发送构建的 RMI 请求来利用此问题,在目标主机上执行任意代码。解决方案
确保通过防火墙将 OpenNMS 服务器使用的所有暴露的端口(包括 1099 端口上的默认配置中存在的 rmi_registry 端口)与任何公用网络隔离。另见
插件详情
严重性: Critical
ID: 87311
文件名: opennms_java_serialize.nasl
版本: 1.8
类型: remote
系列: Misc.
发布时间: 2015/12/10
最近更新时间: 2022/4/11
配置: 启用全面检查
支持的传感器: Nessus
风险信息
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
漏洞信息
CPE: cpe:/a:opennms:opennms
被 Nessus 利用: true
漏洞发布日期: 2015/1/28
参考资料信息
CERT: 576313