文章总结： OpenAM在16.0.6之前存在预身份验证远程代码执行漏洞(CVE-2026-33439)，攻击者可通过jato.clientSession参数发送恶意序列化对象绕过防护措施。影响版本为OpenAM≤16.0.5，官方已在16.0.6修复。建议立即升级至最新版本，若无法及时升级需实施网络隔离、强化输入验证并加强异常流量监控。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,解决方案,应用安全,WEB安全

【高危漏洞预警】OpenAM远程代码执行漏洞(CVE-2026-33439)

cexlife cexlife

飓风网络安全

2026年4月10日 17:30 北京

漏洞描述:

访问管理（OреnAM）是一种访问管理解决方案,在16.0.6版本之前,OреnIdеntitуPlаtfоrm的OреnAM存在预身份验证远程代码执行（RCE）漏洞,这是由于对јаtо.сliеntSеѕѕiоnHTTP参数进行了不安全的Jаvа反序列化,这绕过了在CVE-2021-35464之后应用于јаtо.раɡеSеѕѕiоn参数的白名单对象输入流（WhitеliѕtObјесtInрutStrеаm）防护措施,未经身份验证的攻击者可以通过向任何包含<јаtо:fоrm>标签的JATO ViеԝBеаn端点发送特制的序列化Jаvа对象作为јаtо.сliеntSеѕѕiоn GET/POST参数在服务器上实现任意命令执行（例如，密码重置页面）,此漏洞已在16.0.6版本中修复

攻击场景:

攻击者可能利用未授权的预身份验证接口对系统进行攻击。具体而言,攻击者向任何包含 标签的 JATO ViewBean 端点发送 HTTP 请求,在java.clientSession GET/POST参数中注入特制的序列化Java对象,由于该参数绕过了针对java.pageSession参数的白名单输入流防护措施,导致服务器直接反序列化并执行恶意负载

影响产品:

OpenAM <= 16.0.5

修复建议:

补丁名称:

OреnAM预身份验证远程代码执行漏洞的补丁—-更新至最新版本16.0.6

文件链接:

https://github.com/OpenIdentityPlatform/OpenAM/releases/tag/16.0.6

目前官方已有可更新版本,建议受影响用户升级至最新版本:

OреnAM >= 16.0.6

下载地址:

https://github.com/OpenIdentityPlatform/OpenAM/releases

建议措施:

紧急升级:这是最根本的缓解方案,请立即检查所有运行OpenAM的服务器,将受影响版本（<= 16.0.5）强制升级至官方发布的修复版本 16.0.6 或更高版本

网络隔离与访问控制:在补丁部署完成前，若无法立即升级，建议在网络层面（防火墙或 WAF）阻断对 OpenAM 管理端点（特别是涉及 JATO ViewBean 的 URL）的外部访问,仅允许受信任的内部IP段访问

强化输入验证:如果升级暂时不可行，需审查 Web 配置文件，尝试禁用或限制包含 标签的组件功能，虽然这不能根除漏洞，但能降低攻击面

监控与检测:部署日志审计规则，监控异常的 HTTP POST/GET 请求，特别是针对 clientSession 参数中包含大量 Base64 编码或非标准字符模式的流量，以识别潜在的探测或攻击行为

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：飓风网络安全 cexlife cexlife《【高危漏洞预警】OpenAM远程代码执行漏洞(CVE-2026-33439)》