jboss反序列化漏洞(CVE-2017-12149)

jboss反序列化漏洞(CVE-2017-12149)

参考链接：

作者：雨中落叶
参考链接：https://www.cnblogs.com/yuzly/p/11240145.html

 

文章目录

• 1、漏洞描述
• 2、漏洞复现
• 3、漏洞防御

 

1、漏洞描述

该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中，其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化，导致攻击者可以通过精心设计的序列化数据来执行任意代码。有安全研究者发现JBOSSAS 6.x也受该漏洞影响，攻击者利用该漏洞无需用户验证在系统上执行任意命令，获得服务器的控制权。

环境：vulfocus/CVE-2017-712149

漏洞影响版本：Jboss 5.x和 Jboss 6.x

2、漏洞复现

浏览器访问：http://118.193.36.37:50080/invoker/readonly
若显示HTTP status 500，则说明漏洞存在。

下载检测工具：https://github.com/yunxu1/jboss-_CVE-2017-12149
输入目标URL，点击检测，如下显示漏洞存在。

接下来执行命令。

 

3、漏洞防御

1、升级版本
2、不需要的http-invoker.sar组件,删除此组件