Уязвимости в Apache Commons уже 9 месяцев

Уязвимость в популярной Java-библиотеке Apache Commons продолжает ставить под угрозу тысячи серверных приложений. Об этом сообщает новостной портал ITNews.

Библиотека Apache Commons стала де-факто стандартом при создании серверных приложений и используется в таких продуктах, как Oracle WebLogic, IBM WebSphere, JBoss, Jenkins и OpenNMS. Уязвимость была обнаружена в январе этого года. Она содержится в классе InvokerTransformer и позволяет встроить произвольный код, который будет выполнен при десериализации объекта.

Проблема не привлекла должного внимания, так как обычно считается, что обеспечение безопасности при десериализации объектов лежит на создателе приложения, а не библиотеки.

Возможно, подобные уязвимости могут содержаться также и в других библиотеках.