CERTA-2013-ALE-001
Deux vulnérabilités ont été découvertes dans <span class="textit">Oracle Java</span>. La première vulnérabilité concerne la méthode "findClass" de la classe MBeanInstantiator. Cette vulnérabilité est présente dans <span class="textit">Oracle Java</span> version 7. La deuxième vulnérabilité se trouve dans la nouvelle API <span class="textit">Reflection</span> de <span class="textit">Oracle Java</span>. Cette nouvelle API est disponible à partir de la branche 1.7 du produit. Cette vulnérabilité est donc présente dans les versions antérieures à <span class="textit">Oracle Java</span> version 7 mise à jour 11. L'association des deux vulnérabilités permet à un attaquant d'exécuter du code arbitraire à distance au moyen d'une page Web spécialement conçue sur les postes possédant une version de <span class="textit">Oracle Java</span> antérieure à 1.7.11. Ces vulnérabilités sont activement exploitées et largement diffusées.
Affected Products
| Vendor | Product | Versions |
|---|---|---|
| n/a | n/a | n/a |
Timeline
- Jan 10, 2013 CVE Published
- Apr 18, 2026 Distribution Patch
- Apr 18, 2026 Security Advisory
References
- RHSA-2013:0156 vendor-advisory
- MDVSA-2013:095 vendor-advisory
- http://blog.fuseyism.com/index.php/2013/01/15/security-icedtea-2-1-4-2-2-4-2-3-4-released/ url
- openSUSE-SU-2013:0199 vendor-advisory
- RHSA-2013:0165 vendor-advisory
- USN-1693-1 vendor-advisory
- https://wiki.mageia.org/en/Support/Advisories/MGASA-2013-0018 url
- http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html url