Vulnerabilidad en ObjectRepresentation en Restlet (CVE-2013-4271)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
10/10/2013
Última modificación:
11/04/2025
Descripción
La configuración por defecto de la clase ObjectRepresentation en Restlet anterior a la versión 2.1.4 deserializa objetos de fuentes no confiables, lo que permite a atacantes remotos ejecutar código Java arbitrario a través de objetos serializados, una vulnerabilidad diferente a CVE-2013-4221.
Impacto
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:restlet:restlet:*:*:*:*:*:*:*:* | 2.1.3 (incluyendo) | |
| cpe:2.3:a:restlet:restlet:2.1:milestone1:*:*:*:*:*:* | ||
| cpe:2.3:a:restlet:restlet:2.1:milestone2:*:*:*:*:*:* | ||
| cpe:2.3:a:restlet:restlet:2.1:milestone3:*:*:*:*:*:* | ||
| cpe:2.3:a:restlet:restlet:2.1:milestone4:*:*:*:*:*:* | ||
| cpe:2.3:a:restlet:restlet:2.1:milestone5:*:*:*:*:*:* | ||
| cpe:2.3:a:restlet:restlet:2.1:milestone6:*:*:*:*:*:* | ||
| cpe:2.3:a:restlet:restlet:2.1:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:restlet:restlet:2.1:rc2:*:*:*:*:*:* | ||
| cpe:2.3:a:restlet:restlet:2.1:rc3:*:*:*:*:*:* | ||
| cpe:2.3:a:restlet:restlet:2.1:rc4:*:*:*:*:*:* | ||
| cpe:2.3:a:restlet:restlet:2.1:rc5:*:*:*:*:*:* | ||
| cpe:2.3:a:restlet:restlet:2.1:rc6:*:*:*:*:*:* | ||
| cpe:2.3:a:restlet:restlet:2.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:restlet:restlet:2.1.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://restlet.org/learn/2.1/changes
- http://rhn.redhat.com/errata/RHSA-2013-1410.html
- http://rhn.redhat.com/errata/RHSA-2013-1862.html
- https://bugzilla.redhat.com/show_bug.cgi?id=999735
- https://github.com/restlet/restlet-framework-java/issues/778
- http://restlet.org/learn/2.1/changes
- http://rhn.redhat.com/errata/RHSA-2013-1410.html
- http://rhn.redhat.com/errata/RHSA-2013-1862.html
- https://bugzilla.redhat.com/show_bug.cgi?id=999735
- https://github.com/restlet/restlet-framework-java/issues/778