Secondo il sito Web di Oracle, le seguenti vulnerabilità di deserializzazione sono correlate al protocollo HTTP.
CVE-2015-7501, CVE-2016-5535, CVE-2016-3586, CVE-2016-3510, ecc.
Ma non capisco perché Weblogic dice che è correlato al protocollo HTTP.
A meno che l'applicazione server non si aspetti un oggetto java serializzato come input tramite il protocollo HTTP, c'è qualche altro modo possibile per sfruttare queste vulnerabilità?
Devi essere in grado di attivare la deserializzazione per sfruttarla. Sta solo dicendo che il protocollo usato quando è sfruttato è http. Tuttavia, tieni presente che spesso esistono listener predefiniti che possono essere sfruttati. Ad esempio, JBoss consente di utilizzare adattatori per accedere ai servizi MBean su qualsiasi protocollo supportato. Per HTTP, JBoss AS fornisce HttpAdaptor. In un'installazione predefinita, HttpAdaptor non è attivato. Tuttavia, JMX Invoker di HttpAdaptor è in esecuzione e disponibile pubblicamente al link .
CVE-2015-7501 è un exploit che coinvolge il quale utilizza la classe lnvokerTransformer trovata nella libreria apache-commons-collections per eseguire codice arbitrario sul computer di destinazione. Implica l'invio di oggetti serializzati Java accuratamente predisposti da una macchina remota alla macchina di destinazione dove è deserializzata con la libreria vulnerabile apache-commons-collection nel classpath. Maggiori dettagli sulla vulnerabilità possono essere trovati qui .
Il server Weblogic espone servizi HTTP che consentono di ricevere oggetti serializzati Java, quindi è stato interessato da questa vulnerabilità. Un certo numero di altri prodotti erano anche vulnerabili a questo come affermato nel link sopra.
Gli altri CVE potrebbero essere correlati a variazioni dello stesso problema, ma questa è una supposizione dal momento che Oracle non ha rivelato alcun dettaglio su di loro.