【漏洞预警】Apache UIMA Java SDK <3.5.0 反序列化漏洞CVE-2023-39913

漏洞描述：
Apache UIMA 是一个用于分析非结构化内容（比如文本、视频和音频）的组件架构和软件框架实现。由于Apache UIMA Java SDK在反序列化Java对象时没有验证数据，当应用程序中使用了Vinci 或 CasIOUtils时，攻击者可以通过发送恶意的 CAS 序列化对象执行恶意操作，导致任意代码执行。
ObjectInputFilter读取java序列化数据会严格过滤，可以通过设置全局或上下文特定的ObjectInputFilter来避免这个漏洞产生

影响范围：
org.apache.uima:uimaj-tools(-∞, 3.5.0)

org.apache.uima:uimaj-core(-∞, 3.5.0)

修复方案：

将组件 org.apache.uima:uimaj-tools 升级到 3.5.0 或更高版本

设置全局或特定于上下文的 ObjectInputFilter

将组件 org.apache.uima:uimaj-core 升级到 3.5.0 或更高版本

参考链接：

https://github.com/apache/uima-uimaj/commit/6a8ab16a604401c9e8ec5c5c94e94515371d324b

https://github.com/apache/uima-uimaj/issues/339

https://lists.apache.org/thread/lw30f4qlq3mhkhpljj16qw4fot3rg7v4

原文始发于微信公众号（飓风网络安全）：【漏洞预警】Apache UIMA Java SDK <3.5.0 反序列化漏洞CVE-2023-39913