jboss存在的反序列化漏洞
jboss存在反序列化漏洞 , CVE-2017-12149
jboss漏洞出现在ReadOnlyAccessFilter.java中 , 的doFilter方法 , 程序获取到http数据保存到了
httpRequest中, 序列化后保存到ois中 , 然后 没有进行过滤操作 , 直接使用了readObject方法进行反序列化 ,造成典型的反序列化
漏洞
此漏洞影响范围:
jboss5.x和6.x
漏洞利用可以使用香草反序列化工具, 网上类似工具很多
关于修复漏洞建议如果不使用该组件可以删除 , 或添加代码监控 , 或者升级jar包
相关主题