BMC FootPrints ITSM версий с 20.20.02 по 20.24.01.001 содержит десериализацию уязвимости ненадежных данных в обработке VIEWSTATE сервлета ASP.NET, которая позволяет злоумышленникам, прошедшим проверку подлинности, выполнять произвольный код. Злоумышленники могут передать созданные сериализованные объекты в параметр VIEWSTATE, чтобы добиться удаленного выполнения кода и полностью скомпрометировать приложение. Следующие исправления устраняют уязвимость: 20.20.02, 20.20.03.002, 20.21.01.001, 20.21.02.002, 20.22.01, 20.22.01.001, 20.23.01, 20.23.01.002 и 24.20.01.
Показать оригинальное описание (EN)
BMC FootPrints ITSM versions 20.20.02 through 20.24.01.001 contain a deserialization of untrusted data vulnerability in the ASP.NET servlet's VIEWSTATE handling that allows authenticated attackers to execute arbitrary code. Attackers can supply crafted serialized objects to the VIEWSTATE parameter to achieve remote code execution and fully compromise the application. The following hotfixes remediate the vulnerability: 20.20.02, 20.20.03.002, 20.21.01.001, 20.21.02.002, 20.22.01, 20.22.01.001, 20.23.01, 20.23.01.002, and 20.24.01.
Характеристики атаки
Последствия
Строка CVSS v4.0