CVE-2016-8744 in Brooklyninfo

Zusammenfassung

von VulDB • 04.06.2026

Apache Brooklyn verwendet die SnakeYAML-Bibliothek zum Parsen von YAML-Eingaben. SnakeYAML ermöglicht die Verwendung von YAML-Tags, um SnakeYAML anzuweisen, Daten in einen Java-Typ zu deserialisieren. In der Standardkonfiguration von Brooklyn vor Version 0.10.0 erlaubt SnakeYAML die Deserialisierung in jeden beliebigen, im Classpath verfügbaren Java-Typ. Dies könnte einem authentifizierten Benutzer eine Möglichkeit bieten, die JVM, auf der Brooklyn läuft, dazu zu bringen, Java-Code zu laden und auszuführen, ohne dass dies von Brooklyn erkannt wird. Solcher Code würde über die Berechtigungen des Java-Prozesses verfügen, der Brooklyn ausführt, einschließlich der Fähigkeit, Dateien und Netzwerkverbindungen zu öffnen sowie Systembefehle auszuführen. Es ist bekannt, dass ein Proof-of-Concept-Exploit für diese Schwachstelle existiert.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Reservieren

18.10.2016

Veröffentlichung

13.09.2017

Moderieren

akzeptiert

Eintrag

VDB-106559

CPE

bereit

EPSS

0.00459

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2016-8744
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2016-8744
CVE Detailshttps://www.cvedetails.com/cve/CVE-2016-8744/

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!