CVE-2016-8744 in Brooklyninformación

Resumen

por VulDB • 2026-05-18

Apache Brooklyn utiliza la biblioteca SnakeYAML para analizar entradas YAML. SnakeYAML permite el uso de etiquetas YAML para indicar que SnakeYAML debe deserializar datos a un tipo de Java. En la configuración predeterminada de Brooklyn anterior a la versión 0.10.0, SnakeYAML permitirá la deserialización a cualquier tipo de Java disponible en el classpath. Esto podría proporcionar a un usuario autenticado un medio para hacer que la JVM que ejecuta Brooklyn cargue y ejecute código Java sin ser detectado por Brooklyn. Dicho código tendría los privilegios del proceso de Java que ejecuta Brooklyn, incluida la capacidad de abrir archivos y conexiones de red, y ejecutar comandos del sistema. Se conoce la existencia de un exploit de prueba de concepto que utiliza esta vulnerabilidad.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Reservar

2016-10-18

Divulgación

2017-09-13

Moderación

aceptado

Artículo

VDB-106559

CPE

listo

CWE

CWE-502 (confirmado)

CVSS

8.8 (NVD)

EPSS

0.00459

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2016-8744
NVD	https://nvd.nist.gov/vuln/detail/CVE-2016-8744
CVE Details	https://www.cvedetails.com/cve/CVE-2016-8744/

◂ Anterior Visión De Conjunto Próximo ▸

Do you know our Splunk app?

Download it now for free!