关于SOFARPC反序列化漏洞(CVE-2024-23636)的预警提示
发布时间:2024-02-24浏览次数:71
一、漏洞详情 SOFARPC 是一个Java RPC框架。 近日,监测到SOFARPC中修复了一个反序列化漏洞(CVE-2024-23636),由于SOFARPC 默认使用SOFA Hessian协议来反序列化接收到的数据,而SOFA Hessian协议使用黑名单机制来限制危险类的反序列化。SOFARPC 版本5.12.0之前,威胁者可通过Gadget链(只依赖于JDK,不依赖任何第三方组件)绕过SOFA Hessian黑名单保护机制,导致远程代码执行。 建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。 二、影响范围 SOFARPC < 5.12.0 三、修复建议 目前已通过添加黑名单修复了该漏洞,受影响用户可升级到SOFARPC 版本5.12.0。 |