Katalog CVE

CVE-2026-10538

WysokieCVSS 8.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 — wyżej niż 16% wszystkich znanych CVE

Streszczenie

Podatność w funkcjonalności konsumenta komunikatów w nieobsługiwanych wersjach Control-M/Server i Control-M/Enterprise Manager 9.0.20.x i wcześniejszych umożliwia deserializację danych kontrolowanych przez użytkownika bez wystarczającego ograniczenia dozwolonych typów obiektów. Może to pozwolić uwierzytelnionemu atakującemu na wywołanie niezamierzonego zachowania po stronie serwera poprzez spreparowaną serializowaną zawartość.

Ocena ryzyka

Ryzyko polega na możliwości zdalnego wykonania kodu lub innych nieautoryzowanych działań na serwerze przez uwierzytelnionego atakującego, co może prowadzić do naruszenia poufności, integralności lub dostępności systemu.

Rekomendacja

Należy natychmiast zaktualizować Control-M/Server i Control-M/Enterprise Manager do wspieranej wersji, która zawiera poprawkę zabezpieczającą przed deserializacją niezaufanych danych.

Oryginalny opis (angielski, źródło NVD)

Messaging consumer functionality allows deserialization of user-controlled data without sufficient restriction of allowed object types in the out of support Control-M/Server and Control-M/Enterprise Manager versions 9.0.20.x and potentially earlier. This issue may allow an authenticated attacker to trigger unintended server-side behavior through crafted serialized content.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS