Гийом Тесье сообщил, что XMLRPC-клиент в libxmlrpc3-java, реализации XML-RPC в Java, выполняет десериализацию исключения серверной стороны, сериализованного в атрибуте faultCause ответных сообщений XMLRPC об ошибках. Вредоносный XMLRPC-сервер может использовать эту уязвимость для выполнения произвольного кода с правами приложения, использующего клиентскую библиотеку Apache XMLRPC.
Обратите внимание, что клиент, ожидающий получить исключения серверной стороны, должен явно установить свойство enabledForExceptions.
В предыдущем стабильном выпуске (stretch) эта проблема была исправлена в версии 3.1.3-8+deb9u1.
В стабильном выпуске (buster) эта проблема была исправлена в версии 3.1.3-9+deb10u1.
Рекомендуется обновить пакеты libxmlrpc3-java.
С подробным статусом поддержки безопасности libxmlrpc3-java можно ознакомиться на соответствующей странице отслеживания безопасности по адресу \ https://security-tracker.debian.org/tracker/libxmlrpc3-java