JBoss漏洞-反序列化-CVE-2017-7504

资料参考：

cve-2017-7504
Web中间件常见安全漏洞_KHOST的博客-CSDN博客
 vulhub/jboss/CVE-2017-12149 at master · vulhub/vulhub · GitHub

漏洞描述

Red Hat JBoss Application Server 是一款基于JavaEE的开源应用服务器。JBoss AS 4.x及之前版本中，JbossMQ实现过程的JMSover HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞，远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。漏洞造成的影响反序列化漏洞，远程代码执行。

漏洞证明

访问地址

http://IP:8080/jbossmq-httpil/HTTPServerILServle
http://IP:8080/invoker/readonly

安全建议

不需要 http-invoker.sar 组件的用户可直接删除
/jbossmq-httpil/HTTPServerILServlet接口
路径：

jboss/server/default/deploy/jms/jbossmq-httpil.sar
jboss-6.1.0.Final\server\default\deploy\http-invoker.sar

或升级JBoss AS

# Jboss

JBoss漏洞-反序列化-CVE-2017-7504

资料参考：

漏洞描述

漏洞证明

安全建议

评论

Your browser is out-of-date!