An issue was discovered in Alfresco Community Edition 5.2 201707. By leveraging multiple components in the Alfresco Software applications, an exploit chain was observed that allows an attacker to achieve remote code execution on the victim machine. The attacker must upload malicious Solr configuration files and then receive a JMX connection from the victim, and serve a Java object that results in deserialization and code execution.
Se descubrió un problema en Alfresco Community Edition versión 5.2 201707. Mediante el aprovechamiento de múltiples componentes en las aplicaciones de Alfresco Software, se observó una cadena de explotaciones que permite a un atacante lograr la ejecución de código remota en la máquina víctima. El atacante necesita cargar archivos de configuración de Solr maliciosos y entonces recibir una conexión JMX de la víctima y servir un objeto Java lo que resulta en la deserialización y ejecución de código.
