CVE-2017-12149 复现及修复
漏洞名称:JBOOS AS 6.X 反序列化漏洞
CVE编号:CVE-2017-12149
漏洞等级:高危
影响版本:5.x和6.x版本
漏洞描述及原理:2017年8月30日,厂商Redhat发布了一个JBOSSAS 5.x 的反序列化远程代码执行漏洞通告。该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码。但近期有安全研究者发现JBOSSAS 6.x也受该漏洞影响,攻击者利用该漏洞无需用户验证在系统上执行任意命令,获得服务器的控制权。
一.实验环境
| 软件 | 版本 |
|---|---|
| JBoss | V6.0Final |
| jboss-_CVE-2017-12149 | (工具) |
二.实验环境
实验平台提供漏洞: VULFOCUS
攻击机:centos服务器
三.实验步骤
打开网址
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
