OpenAM CVE-2026-33439: RCE pre-autenticazione via deserializzazione Java, exploit attivi rilevati in telemetria

La CVE-2026-33439 (CVSS 9.3–9.8) è una vulnerabilità di Pre-Authentication Remote Code Execution in OpenIdentityPlatform OpenAM, la piattaforma open-source di Identity & Access Management utilizzata per centralizzare autenticazione, autorizzazione e SSO. Come documentato da Hacktron AI, la flaw era già praticamente presente sin dalla patch di CVE-2021-35464: allora fu protetto il parametro jato.pageSession con un WhitelistObjectInputStream, ma il parametro gemello jato.clientSession nella stessa libreria JATO rimase privo di filtri. Un attaccante può inviare un singolo HTTP GET o POST verso qualsiasi endpoint ViewBean (tipicamente le pagine di password reset, accessibili per definizione senza autenticazione) con un oggetto Java serializzato malevolo nel campo jato.clientSession, ottenendo esecuzione di codice arbitrario come root attraverso gadget chain standard come ysoserial.

Il Centre for Cybersecurity del Belgio ha emesso un avviso di emergenza il 9 aprile. La telemetria passiva raccolta da ricercatori su LinkedIn ha rilevato payload serializzati Java diretti all'endpoint /openam/ui/PWResetUserValidation entro ore dalla pubblicazione, con callback OOB che confermavano la vulnerabilità in preparazione di follow-up RCE. Il fix in OpenAM 16.0.6 estende il WhitelistObjectInputStream anche a jato.clientSession, uniformando la protezione a entrambi i parametri.

Versioni affette: OpenIdentityPlatform OpenAM < 16.0.6 (include ForgeRock OpenAM e PingAM basati sullo stesso codice).
Azione raccomandata: aggiornare immediatamente a 16.0.6; in alternativa, bloccare l'accesso agli endpoint /ui/PWReset* via WAF o reverse proxy.

Fonti: ACN, CC Belgium, Hacktron