JBoss漏洞-反序列化-CVE-2017-7504

资料参考:

cve-2017-7504
Web中间件常见安全漏洞_KHOST的博客-CSDN博客
vulhub/jboss/CVE-2017-12149 at master · vulhub/vulhub · GitHub

漏洞描述

Red Hat JBoss Application Server 是一款基于JavaEE的开源应用服务器。JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMSover HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。漏洞造成的影响反序列化漏洞,远程代码执行。

漏洞证明

访问地址

http://IP:8080/jbossmq-httpil/HTTPServerILServle
http://IP:8080/invoker/readonly

安全建议

  • 不需要 http-invoker.sar 组件的用户可直接删除
    /jbossmq-httpil/HTTPServerILServlet接口
    路径:
jboss/server/default/deploy/jms/jbossmq-httpil.sar
jboss-6.1.0.Final\server\default\deploy\http-invoker.sar
  • 或升级JBoss AS
# Jboss 

评论

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×