您现在的位置是：首页 > 文章详情

Apache UIMA Java SDK <3.5.0 反序列化漏洞

日期：2023-11-09点击：277收藏

漏洞描述

Apache UIMA 是一个用于分析非结构化内容（比如文本、视频和音频）的组件架构和软件框架实现。

由于Apache UIMA Java SDK在反序列化Java对象时没有验证数据，当应用程序中使用了Vinci 或 CasIOUtils时，攻击者可以通过发送恶意的 CAS 序列化对象执行恶意操作，导致任意代码执行。

ObjectInputFilter读取java序列化数据会严格过滤，可以通过设置全局或上下文特定的ObjectInputFilter来避免这个漏洞产生

org.apache.uima:uimaj-tools@(-∞, 3.5.0)

org.apache.uima:uimaj-core@(-∞, 3.5.0)

将组件 org.apache.uima:uimaj-tools 升级到 3.5.0 或更高版本

设置全局或特定于上下文的 ObjectInputFilter

将组件 org.apache.uima:uimaj-core 升级到 3.5.0 或更高版本

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

关注公众号

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。

持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

转载内容版权归作者及来源网站所有，本站原创内容转载请注明来源。