Pou siksè eksplwate vilnerabilite a, atakè a dwe kapab kontwole kontni an ak non nan dosye a sou sèvè a (pa egzanp, si aplikasyon an gen kapasite nan telechaje dokiman oswa imaj). Anplis de sa, atak la se sèlman posib sou sistèm ki sèvi ak PersistenceManager ak depo FileStore, nan anviwònman yo nan ki paramèt sessionAttributeValueClassNameFilter yo mete nan "nil" (pa default, si SecurityManager pa itilize) oswa yo chwazi yon filtè fèb ki pèmèt objè. deserializasyon. Atakè a dwe konnen tou oswa devine chemen ki mennen nan dosye li kontwole a, parapò ak kote FileStore la.
Sous: opennet.ru