Deserialization Bug

La vulnerabilidad ocurre cuando una aplicación realiza un técnica utilizada para transferir estructuras de datos sobre la red y entre equipos de cómputo, conocida como "serialización".

Al no llevar a cabo una revisión de las entradas permitidas, conocida como deserialización, un atacante aprovecha para insertar un "objeto" malicioso que a su vez es ejecutado en la memoria del servidor donde vive la aplicación, lo cual le permite desde ejecutar cualquier comando hasta tal vez tomar el control remoto del servidor.

A esta debilidad no se le ha dado la criticidad que merece, por lo cual es importante revisar el detalle y determinar si hay afectación y las posibles medidas de remediación. Hay exploits disponibles, lo cual hace imprescindible tomar medidas en el corto plazo. Te dejo ligas para obtener más información:

http://www.darkreading.com/informationweek-home/why-the-java-deserialization-bug-is-a-big-deal/d/d-id/1323237

http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/#thevulnerability

http://www.securityweek.com/remote-code-execution-flaw-found-java-app-servers

http://www.contrastsecurity.com/security-influencers/java-serialization-vulnerability-threatens-millions-of-applications

https://dzone.com/articles/point-of-viewwhy-the-java-serialization-vulnerabil