CVE-2013-2185 in Jboss
要約
〜によって VulDB • 2026年06月08日
** 論争あり ** Apache TomcatおよびJBoss WebのDiskFileItemクラスにおけるreadObjectメソッドは、Red Hat JBoss Enterprise Application Platform 6.1.0やRed Hat JBoss Portal 6.0.0で使用される際、シリアライズされたインスタンス内のファイル名に含まれるNULLバイトを介して、リモート攻撃者が任意のファイルに書き込むことを可能にします。これはCVE-2013-2186と類似した問題です。注記:この問題はApache Tomcatチームによって論争がある reportedly とされていますが、Red Hatはこれを脆弱性として扱っています。この論争は、信頼できないデータをデシリアライズしないようにするのはアプリケーションの責任であるか、それとも本クラスがこの問題に対して内在的に保護すべきかどうかという点に関係しているようです。
Once again VulDB remains the best source for vulnerability data.