SOFARPC 远程命令执行(RCE)漏洞(CVE-2024-23636)
CVE编号
CVE-2024-23636利用情况
暂无补丁情况
N/A披露时间
2024-01-24漏洞描述
SOFARPC是一个Java RPC框架。它默认使用SOFA Hessian协议来反序列化接收到的数据,而SOFA Hessian协议使用黑名单机制来限制反序列化可能存在安全风险的类。然而,在版本5.12.0之前,存在一条能够绕过SOFA Hessian反序列化黑名单保护机制的 gadget chain (利用链),而且该利用链仅仅依赖于JDK,不依赖任何第三方组件。版本5.12.0修复了这个问题,通过添加黑名单来解决。同时,SOFARPC还提供了一种添加额外黑名单的方式。用户可以通过添加类似 `-Drpc_serialize_blacklist_override=org.apache.xpath.` 的参数来避免此问题。解决建议
"将组件 com.alipay.sofa:rpc-sofa-boot-starter 升级至 5.12.0 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/sofastack/sofa-rpc/commit/42d19b1b1d14a25aafd9ef7c219c04a19f90fc76 | |
| https://github.com/sofastack/sofa-rpc/security/advisories/GHSA-7q8p-9953-pxvr |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-502 | 可信数据的反序列化 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论