Apache Commons Collections 反序列化远程命令执行漏洞

FoxGlove Security 安全团队公开了一篇文章,介绍了在常用的 JAVA Web 应用服务器上利用 Apache Commons Collections 库反序列化漏洞实现远程代码执行的方法,并公开了 PoC 代码。

受影响的应用服务器包括:WebSphere、JBoss、Jenkins、WebLogic 和 OpenNMS,均为最新版。

因为受影响的多家厂商在今年 1 月拿到 PoC 至今都没有对该问题做任何修复,所以短期内并不会有官方补丁放出,如果很重视这个安全问题并且想要有一个临时的解决方案可以参考 NibbleSecurity 公司的 ikkisoft 在 Github 上放出了一个临时补丁 SerialKiller

深入阅读:Lib之过?Java反序列化漏洞通用利用分析 (by 长亭科技)

参考: