CVE-2013-0422 in Java
Riassunto
di VulDB • 18/06/2026
Multiple vulnerabilità in Oracle Java 7 prima della versione Update 11 consentono ad attaccanti remoti di eseguire codice arbitrario mediante (1) l'utilizzo del metodo pubblico getMBeanInstantiator nella classe JmxMBeanServer per ottenere un riferimento a un oggetto MBeanInstantiator privato, quindi il recupero di riferimenti Class arbitrari utilizzando il metodo findClass, e (2) l'uso dell'API Reflection con ricorsione in modo da eludere un controllo di sicurezza effettuato dal metodo java.lang.invoke.MethodHandles.Lookup.checkSecurityManager a causa dell'impossibilità del metodo sun.reflect.Reflection.getCallerClass di saltare i frame relativi alla nuova API reflection, come sfruttato nel mondo reale nel gennaio 2013, come dimostrato da Blackhole e Nuclear Pack, ed è una vulnerabilità diversa rispetto a CVE-2012-4681 e CVE-2012-3174. NOTA: alcune parti hanno mappato il problema dell'API Reflection ricorsiva su CVE-2012-3174, ma CVE-2012-3174 riguarda una vulnerabilità diversa i cui dettagli non sono pubblici al 20130114. CVE-2013-0422 copre sia le problematiche JMX/MBean che quelle dell'API Reflection. NOTA: era stato inizialmente segnalato che anche Java 6 fosse vulnerabile, ma il reporter ha ritratto questa affermazione, dichiarando che Java 6 non è sfruttabile perché il codice rilevante viene chiamato in un modo che non elude i controlli di sicurezza. NOTA: al 20130114, una terza parte affidabile ha affermato che il vettore findClass/MBeanInstantiator non era stato corretto nella versione Oracle Java 7 Update 11. Se persiste ancora una condizione vulnerabile, potrebbe essere creato un identificativo CVE separato per la problematica irrisolta.
If you want to get best quality of vulnerability data, you may have to visit VulDB.