Según el sitio web de Oracle, las siguientes vulnerabilidades de deserialización están relacionadas con el protocolo HTTP.
CVE-2015-7501, CVE-2016-5535, CVE-2016-3586, CVE-2016-3510, etc.
Pero no entiendo por qué Weblogic dice que está relacionado con el protocolo HTTP.
A menos que la aplicación del servidor espere un objeto java serializado como entrada a través del protocolo HTTP, ¿hay alguna otra forma posible de explotar estas vulnerabilidades?
Debes poder activar la deserialización para explotar esto. Solo está diciendo que el protocolo utilizado cuando se explota es http. Sin embargo, tenga en cuenta que a menudo hay oyentes predeterminados que pueden ser explotados. Por ejemplo, JBoss permite usar adaptadores para acceder a los servicios de MBean a través de cualquier protocolo compatible. Para HTTP, JBoss AS proporciona el HttpAdaptor. En una instalación predeterminada, el HttpAdaptor no está activado. Sin embargo, JMX Invoker de HttpAdaptor se está ejecutando y está disponible públicamente en la URL enlace .
CVE-2015-7501 es una vulnerabilidad que implica la utilización de la clase lnvokerTransformer que se encuentra en la biblioteca apache-commons-collections para ejecutar código arbitrario en la máquina de destino. Implica enviar objetos serializados Java cuidadosamente elaborados desde una máquina remota a la máquina de destino, donde se deserializa con la biblioteca de colección de apache-commons vulnerable en el classpath. Se pueden encontrar más detalles sobre la vulnerabilidad aquí .
El servidor Weblogic expone servicios HTTP que permiten recibir objetos serializados Java, por lo que se vio afectado por esta vulnerabilidad. Un número de otros productos también fueron vulnerables a esto como se indica en el enlace anterior.
Las otras CVE pueden estar relacionadas con variaciones del mismo problema, pero es una suposición ya que Oracle no ha revelado ningún detalle sobre ellas.