Вразливість OpenAM (CVE-2026-33439): віддалене виконання коду без автентифікації

OpenAM до 16.0.6 має критичну вразливість віддаленого виконання коду через небезпечну десеріалізацію Java. Оновіть систему для захисту.
CVE-2026-33439CVSS 9.3General

Вразливість OpenAM (CVE-2026-33439): віддалене виконання коду без автентифікації

OpenAM до 16.0.6 має критичну вразливість віддаленого виконання коду через небезпечну десеріалізацію Java. Оновіть систему для захисту.

CVSS
9.3 CRITICAL
EPSS
95.2%
Активно використовується
немає в KEV
Продукт
openam

Що відомо

OpenAM до версії 16.0.6 має критичну вразливість, що дозволяє віддалене виконання коду через небезпечну десеріалізацію Java об'єкта в параметрі jato.clientSession. Уразливість обходить попередні заходи безпеки і дозволяє неавторизованому зловмиснику виконувати довільні команди на сервері.

Бізнес-вплив

Ця вразливість становить серйозну загрозу для безпеки інфраструктури, оскільки дозволяє віддаленим зловмисникам отримати контроль над сервером без автентифікації. Це може призвести до компрометації даних, порушення доступності сервісів та подальших атак у мережі. Власники та оператори систем на базі OpenAM повинні негайно оцінити ризики та вжити заходів для захисту.

Рекомендовані дії адміністратора

Рекомендується якнайшвидше оновити OpenAM до версії 16.0.6 або новішої, де ця вразливість виправлена. Якщо оновлення наразі неможливе, слід обмежити доступ до вразливих ендпоінтів, переглянути журнали на предмет підозрілої активності та застосувати заходи з мінімізації ризиків. Регулярно перевіряйте оновлення від постачальника та впроваджуйте їх у пріоритетному порядку.

Джерела