Bulletin de sécurité

Ce bulletin de sécurité fournit une mise à jour importante concernant une vulnérabilité récemment détectée dans ARender.

Les derniers développements et mesures de sécurité concernant ARender peuvent être trouvés sur le blog technique à l'adresse https://hub.arender.io/fr/technical-blog.

Le framework Pivotal Spring avant la version 6.0.0 est sujet à un éventuel problème de d'exécution de code à distance (RCE) si utilisé pour la désérialisation de données non fiables.

Selon la façon dont la bibliothèque est implémentée dans un produit, ce problème peut ou non se produire et une authentification peut être requise.

Le paquet org.springframework est vulnérable à la désérialisation de données non fiables, ce qui peut entraîner une exécution de code à distance (RCE).

La méthode readRemoteInvocation dans la classe HttpInvokerServiceExporter.class ne vérifie ou ne restreint pas correctement les objets non fiables avant de les désérialiser.

Un attaquant peut exploiter cette vulnérabilité en envoyant des requêtes malveillantes contenant des objets conçus, qui exécutent du code arbitraire sur le système vulnérable lorsqu'ils sont désérialisés.

Impact sur ARender

ARender n'utilise pas Http Invoker (HTTPInvokerServiceExporter et RemoteInvocationSerializingExporter) pour la désérialisation Java.

ARender n'est pas affecté par cette vulnérabilité.

Liens