🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي

تم إصدار التصحيح لثغرة Apache Unomi RCE الحرجة

كانت Apache Unomi، وهي منصة Java مفتوحة المصدر مصممة لتوفير تجربة مخصصة للعملاء، تعاني من ثغرة أمنية خطيرة في RCE.
Updated on
August 19, 2025
Published on
December 4, 2020
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.
استشارةذكاء نقاط الضعفالمورّدأباتشيالسيرة الذاتية 10 (حرجة)كهف2020-13942 الهدفأباتشي أونومي <=1.5.1النتيجةعرقتوفر التصحيحنعم الإصدار المصحح 1.5.2

[/vc_column_text] [vc_column_text] Apache Unomi عبارة عن منصة بيانات عملاء جافا مفتوحة المصدر مصممة لتوفير تجربة مخصصة للعملاء. يمكن دمجها مع CRMs والتطبيقات وأنظمة إدارة المحتوى وما إلى ذلك، وبسبب تكاملها الفعال مع الخدمات الهامة الأخرى، فإن المساومة على Unomi هي نقطة دخول مثالية إلى شبكات الشركات المحمية.

طريقة العمل

يمكن للمهاجمين صياغة طلبات HTTP ضارة إلى خوادم Unomi، وتحديدًا إلى نقطة نهاية /context.js\ json للخادم، والتي تحتوي على أوامر عشوائية باستخدام لغة التعبير الخاصة بـ Java (EL) مثل MVEL و OGNL. نظرًا للمعالجة غير الآمنة للفئات (تحميل الفئات العشوائية وطرق الاستدعاء)، سيتم تنفيذ الأوامر على نظام تشغيل الخادم المستهدف ضمن سياق الأمان لتطبيق Unomi.

التأثير

التأثير الفني

يمكن للجهات الفاعلة في مجال التهديد بدء الهجمات، باستخدام خوادم Unomi المخترقة، لاستهداف الخدمات الحيوية المرتبطة.
قم بإجراء الحركة الجانبية لتهديد بيانات العميل.
قم بشن هجمات ضد الشبكات المجزأة وبالتالي تعريض مجال الشبكة بأكمله للخطر.

تأثير الأعمال

اختراق بيانات العميل/العميل الحساسة.
تؤدي خروقات البيانات إلى تشويه سمعة المؤسسة وعلامتها التجارية.
يمكن للجهات الفاعلة في مجال التهديد إساءة استخدام نقاط الضعف لشن هجمات برامج الفدية ضد الهدف.

التخفيف

قم بتحديث Apache Unomi إلى الإصدار 1.5.2 أو أعلى.

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
جدولة عرض تجريبي
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations