【已复现】OpenAM预认证反序列化远程代码执行漏洞(CVE-2026-33439)

admin
admin
admin
0
文章
0
评论
2026-04-13 06:50:25 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: OpenAM存在预认证反序列化远程代码执行漏洞CVE-2026-33439,CVSS评分9.8。攻击者可通过向JATOViewBean端点发送恶意序列化对象实现任意命令执行。影响16.0.6之前版本,建议立即升级至16.0.6或更高版本。临时措施包括限制网络访问、配置WAF规则拦截可疑请求。 综合评分: 88 文章分类: 漏洞分析,漏洞预警,应急响应,WEB安全,应用安全

cover_image

【已复现】OpenAM 预认证反序列化远程代码执行漏洞(CVE-2026-33439)

安恒信息CERT

2026年4月8日 18:02 浙江

| | | | | | — | — | — | — | | 漏洞概述 | | | | | 漏洞名称 | OpenAM 预认证反序列化远程代码执行漏洞 | | | | 安恒CERT评级 | 1级 | CVSS3.1评分 | 9.8 | | CVE编号 | CVE-2026-33439 | CNVD编号 | 未分配 | | CNNVD编号 | 未分配 | 安恒CERT编号 | DM-202604-001574 | | POC情况 | 已发现 | EXP情况 | 未发现 | | 在野利用 | 未发现 | 研究情况 | 已复现 | | 危害描述 | 该漏洞绕过了在 CVE-2021-35464 之后应用于 jato.pageSession 参数的 WhitelistObjectInputStream 缓解措施。未经身份验证的攻击者可以通过向任意包含 jato:form标签的 JATO ViewBean 端点(例如密码重置页面)发送特制的序列化 Java 对象作为 jato.clientSession 的 GET/POST 参数,从而在服务器上实现任意命令执行。 | | |

该产品主要使用客户行业分布广泛,漏洞危害性高,建议客户尽快做好自查及防护。

安恒研究院卫兵实验室已通过恒脑AI代码审计智能体复现此漏洞。

漏洞信息

OpenAM 是开源的身份认证和访问管理解决方案,支持单点登录、身份联合和授权服务。

漏洞描述

漏洞危害等级:严重

漏洞类型:远程代码执行

影响范围

影响版本:

OpenAM 16.0.6 之前版本

安全版本:

OpenAM 16.0.6 及以上版本

CVSS向量

访问途径(AV):网络

攻击复杂度(AC):低

所需权限(PR):无

用户交互(UI):无

影响范围 (S):不变

机密性影响 (C):高

完整性影响 (l):高

可用性影响 (A):高

修复方案

官方修复方案:

OpenIdentityPlatform 已发布 OpenAM 16.0.6 版本修复此漏洞,受影响的用户建议立即采取以下措施:

  1. 升级 OpenAM 版本 将 OpenAM 升级至 16.0.6 或更高版本。该版本已修复 jato.clientSession 参数的反序列化漏洞。
   # 下载最新版本
   wget https://github.com/OpenIdentityPlatform/OpenAM/releases/download/16.0.6/OpenAM-16.0.6.war
   # 备份现有配置后部署新版本

  1. 验证修复 升级后确认 OpenAM 版本为 16.0.6 或更高,并测试系统功能正常。

  2. 检查日志 检查服务器日志,监控是否存在异常的反序列化请求或可疑活动。

    信息来源:https://github.com/OpenIdentityPlatform/OpenAM/security/advisories/GHSA-2cqq-rpvq-g5qj

临时缓解方案:

如果暂时无法升级版本,建议采取以下临时缓解措施:

  1. 限制网络访问 限制 OpenAM 服务的网络访问,仅允许可信 IP 地址访问,减少攻击面。

  2. WAF 规则拦截 在 WAF 或反向代理层添加规则,拦截包含 jato.clientSession 参数的异常请求。

  3. 启用请求监控 部署入侵检测系统(IDS)或 Web 应用防火墙(WAF),监控并阻止可疑的 Java 反序列化攻击流量。

  4. 禁用敏感端点 如非必要,临时禁用密码重置等包含 <jato:form> 标签的 JATO ViewBean 端点。 注意:以上仅为临时缓解措施,建议尽快升级至安全版本以彻底修复漏洞。

    信息来源:https://github.com/OpenIdentityPlatform/OpenAM/security/advisories/GHSA-2cqq-rpvq-g5qj

参考资料

https://github.com/OpenIdentityPlatform/OpenAM/security/advisories/GHSA-2cqq-rpvq-g5qj

https://nvd.nist.gov/vuln/detail/CVE-2026-33439

技术支持

如有漏洞相关需求支持请联系400-6059-110获取相关能力支撑。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安恒信息CERT 《【已复现】OpenAM 预认证反序列化远程代码执行漏洞(CVE-2026-33439)》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0