CVE-2026-33439: Krytyczna luka RCE w OpenAM przed wersją 16.0.6

OpenAM przed 16.0.6 podatny na zdalne wykonanie kodu przez niebezpieczną deserializację parametru jato.clientSession. Zalecana szybka aktualizacja.
CVE-2026-33439CVSS 9.3General

CVE-2026-33439: Krytyczna luka RCE w OpenAM przed wersją 16.0.6

OpenAM przed 16.0.6 podatny na zdalne wykonanie kodu przez niebezpieczną deserializację parametru jato.clientSession. Zalecana szybka aktualizacja.

CVSS
9.3 CRITICAL
EPSS
95.2%
Aktywnie wykorzystywana
brak w KEV
Produkt
openam

Co wiadomo

OpenAM przed wersją 16.0.6 jest podatny na zdalne wykonanie kodu (RCE) bez uwierzytelnienia poprzez niebezpieczną deserializację parametru jato.clientSession. Atakujący może wykonać dowolne polecenia na serwerze, wysyłając spreparowany obiekt Java do punktów końcowych JATO ViewBean zawierających tagi <jato:form>.

Wpływ biznesowy

Ta krytyczna luka umożliwia nieautoryzowanym osobom zdalne wykonanie kodu na serwerze OpenAM, co może prowadzić do przejęcia kontroli nad systemem, wycieku danych lub zakłócenia działania usług. Organizacje korzystające z OpenAM powinny pilnie ocenić ryzyko i podjąć działania naprawcze, aby zabezpieczyć swoje środowiska przed potencjalnymi atakami.

Rekomendowane działania administratora

Zaleca się jak najszybszą aktualizację OpenAM do wersji 16.0.6 lub nowszej, gdzie luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, ogranicz dostęp do punktów końcowych JATO ViewBean oraz monitoruj logi pod kątem podejrzanej aktywności związanej z parametrem jato.clientSession. Przeprowadź przegląd polityk bezpieczeństwa i weryfikuj poprawność konfiguracji systemu.

Źródła