SOFARPC is a Java RPC framework. Versions prior to 5.11.0 are vulnerable to remote command execution. Through a carefully
crafted payload, an attacker can achieve JNDI injection or system command execution. In the default configuration of the SOFARPC framework, a blacklist is used to filter out dangerous classes encountered during the deserialization process. However, the blacklist is not comprehensive, and an actor can exploit certain native JDK classes and common third-party packages to construct gadget chains capable of achieving JNDI injection or system command execution attacks. Version 5.11.0 contains a fix for this issue. As a workaround, users can add `-Drpc_serialize_blacklist_override=javax.sound.sampled.AudioFileFormat` to the blacklist.
SOFARPC es un framework de Java RPC. Las versiones anteriores a la 5.11.0 son vulnerables a la ejecución remota de comandos. A través de un payload manipulado, un atacante puede lograr la inyección JNDI o la ejecución de comandos del sistema. En la configuración predeterminada del framework SOFARPC, se utiliza una lista negra para filtrar las clases peligrosas encontradas durante el proceso de deserialización. Sin embargo, la lista negra no es exhaustiva y un actor puede explotar ciertas clases nativas de JDK y paquetes comunes de terceros para construir cadenas de dispositivos capaces de lograr ataques de inyección JNDI o ejecución de comandos del sistema. La versión 5.11.0 contiene una solución para este problema. Como workaround, los usuarios pueden agregar `-Drpc_serialize_blacklist_override=javax.sound.sampled.AudioFileFormat` a la lista negra.
