文章总结： OpenDJ目录服务存在无需认证的远程代码执行漏洞CVE-2026-46495（CVSS9.2），源于JMX连接处理器的Java反序列化漏洞（CWE-502），攻击者通过向RMI连接器发送恶意数据即可在认证前执行任意命令。该漏洞影响CommunityEdition5.1.0及之前版本，建议立即升级至5.1.1版本修复。 综合评分： 88 文章分类： 漏洞分析,漏洞预警,解决方案,应用安全,网络安全

OpenDJ 无需认证的远程代码执行(RCE)漏洞

sec随谈 sec随谈

sec随谈

2026年6月25日 09:20 北京

在小说阅读器读本章

去阅读

OpenDJ 目录服务存在一个严重的安全漏洞。这个 OpenDJ 无需认证的 RCE 漏洞,编号为 CVE-2026-46495,CVSS 评分高达 9.2,属于严重级别。该漏洞允许攻击者远程执行任意代码。

该威胁为何值得重视

OpenDJ 是一款兼容 LDAPv3 的目录服务软件,为组织内的身份信息提供高可用的存储服务。它运行在 Java 平台之上,使得企业级部署既快速又简便。用户可以将数据库存储在 SQL 或 NoSQL 集群中。

一旦攻击成功,这些敏感数据库将被完全暴露。许多管理员为了系统监控而启用了存在漏洞的 JMX 连接处理器(JMX Connection Handler),这会大幅扩大攻击面。如果不及时修补,无数服务器都将面临这一严重威胁。

攻击原理

该问题源于一个 Java 反序列化漏洞,归类于 CWE-502(对不可信数据的处理不当)。OpenDJ 平台会在要求用户认证之前就读取传入的字节数据。攻击者向 JMX RMI 连接器发送恶意数据,服务器随后处理这些由攻击者控制的字节,从而触发任意命令的执行。攻击者只需具备对监听端口的网络 TCP 访问权限即可,无需客户端证书,也无需任何预先获取的访问凭证。

受影响版本与缓解措施

该漏洞影响 OpenDJ 社区版(Community Edition)5.1.0 及之前的所有版本。安全研究人员在 OpenDJ 4.4.15 版本上演示了该攻击。目前已存在公开的概念验证(PoC)利用代码,但尚未确认有在野的实际攻击活动。

管理员必须迅速采取行动来保护自身环境,立即应用官方补丁。你可以直接从厂商处下载 OpenDJ 社区版 5.1.1 版本。请及时更新系统,以保护你的身份信息存储。

参考链接：

https://github.com/OpenIdentityPlatform/OpenDJ/releases/tag/5.1.1

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《OpenDJ 无需认证的远程代码执行(RCE)漏洞》