A biztonsági rés sikeres kihasználásához a támadónak képesnek kell lennie a kiszolgálón lévő fájl tartalmának és nevének szabályozására (például, ha az alkalmazás képes dokumentumokat vagy képeket letölteni). Ezenkívül a támadás csak olyan rendszereken lehetséges, amelyek a PersistenceManager-t FileStore-tárolóval használják, és amelyek beállításaiban a sessionAttributeValueClassNameFilter paraméter nullára van állítva (alapértelmezés szerint, ha a SecurityManager nincs használatban), vagy egy gyenge szűrő van kiválasztva, amely lehetővé teszi az objektumot. deszerializáció. A támadónak ismernie vagy kitalálnia kell az általa irányított fájl elérési útját is, a FileStore helyéhez képest.
Forrás: opennet.ru