●概述：
Red Hat產品Enterprise Virtualization存在3弱點，反序列化錯誤讓readValue()收到惡意資料後觸發RCE事件；Jasypt的時序攻擊漏洞讓駭客能逐漸拼湊正確密碼字串；而Hibernate Validator框架工具的getInvalidValue()呼叫會意外肇生不當權限升級，駭客可藉此取得系統控制權，Red Hat就相關版本軟體提供對應之安全更新。
●編註：
(1)反序列化deserialization錯誤
Java平台解析或產生JSON的工作，是由Jackson框架處理，Jackson資料綁定元件在還原物件資料結構的反序列化過程中出現漏洞，可讓來路不明的遠端用戶送出惡意變造資料，輸入至ObjectMapper的readValue()函式，導致帶有系統服務權限的程式碼被執行。
(2)時序攻擊(timing attack)漏洞
Jasypt係開放的Java函式庫，在開發階段使用其加密功能，然jasypt 1.9.2之前版本，存在timing attack漏洞，讓本機駭客能夠反覆記錄密碼雜湊值比對後，分析輸入錯誤密碼後系統偵錯返回的時間，推算是第幾個字元被判定為錯誤值，從而逐字嘗試到正確密碼。
(3)Hibernate Validator瑕疵
網站後台開發工作涉及字串驗證功能，會使用Hibernate Validator框架，遇上違反限制條件(ConstraintViolation)狀況，getInvalidValue()函式用以取得造成驗證失敗的輸入值，系統內security manager模組對應的許可權，能夠准許接觸類別內的保密屬性，而這樣的許可權會過渡給Hibernate Validator，本機駭客利用該特性，經由呼叫ConstraintViolation#getInvalidValue()，亦可使無效的要求生效，導致權限提升且能取用隱密的類別內容。