漏洞描述
Oracle Java Runtime Environment(JRE)是美国甲骨文(Oracle)公司的一个Java运行时环境,是运行Java程序所必须的环境的集合。 Oracle Java 7 Update 10及之前的版本中存在提权漏洞,该漏洞源于Oracle Java允许使用内容结合JMX (Java Management Extensions) MBean组件和sun.org.mozilla.javascript.internal对象调用‘setSecurityManager()’函数。攻击者通过使用com.sun.jmx.mbeanserver.MBeanInstantiator.findClass方法利用该漏洞检索任意数据包的Class引用。也可通过使用递归的Reflection API利用该漏洞绕过安全检查,进而执行任意代码。