WebLogic “Java 反序列化”过程远程命令执行漏洞

绵羊墙

福建华*会计师事务所（特殊普通合伙）
苏州**精密制造科技有限公司
青岛*软科技有限公司
友*科技
香港***局課程
**市东方**人力资源有限公司人事派遣综合信息管理系统
**金牛企业信息管理综合平台
***，**我师----在线学习，在线教学，海量题库，资源共享
**sport运动健身商城
全国**资助管理信息系统
*建*局门户平台
**省**卫生信息系统
**市**管理局**租赁信息网
****社 - 船舶能效在线智能管理系统
**省电*公司
****通社区服务平台
国*水产
**省*检院**设备作业人员考核管理平台
**航空官网
**农品汇网
财*巷第一财经理财指数
**湾财产保险股份有限公司
*支付-中国**手机支付官方网站
惠*中国云
网康***防火墙（经厂家确认，用户运维不当导致）
锐捷网络 —***路由器—登录界面
锐捷***防火墙
PPM系统登录!
网睿兴安**系统
深信服****系统
SANGFOR（深信服）****管理
TOPSEC（天融信） * Web User Interface

基本字段

漏洞编号：: SSV-89726

披露/发现时间：: 未知

提交时间：: 2015-11-14

漏洞等级：

漏洞类别：: 命令执行

影响组件：: WebLogic
(影响版本较多,点击查看)

漏洞作者：: FoxGlove 安全研究团队

提交者：: Knownsec

CVE-ID：: CVE-2015-4852

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

漏洞详情

贡献者 Knownsec 共获得 0KB

### 漏洞原理反序列化是指特定语言中将传递的对象序列化数据重新恢复为实例对象的过程，而在这个过程中会执行一系列的字节流解析和对象实例化操作用于恢复之前序列化时的对象。在原博文所提到的那些 Java 应用里都有特定的接口用于传递序列化对象数据，而在反序列化时并没有限制实例化对象的类型，导致可以任意构造应用中已经包含的对象利用反序列化操作进行实例化。 Java 在进行反序列化操作的时候会使用 ObjectInputStream 类调用 readObject() 方法去读取传递过来的序列化对象字节流进行处理，要想利用反序列化过程进行攻击，就必须构造出一个能够自动执行的代码调用链。而议题《Marshalling Pickles》中巧好就使用 Apache Commons Collections 库构造出了一个能够在反序列化操作时能够自动执行命令的调用链。具体构造详情可参考原议题PPT。 ### 漏洞影响 > ZoomEye 对全球开放 7001 端口的二百万 IP 进行了检测，其中有 5419 个目标确认存在风险。影响版本： ``` - 9.2.3.0 - 9.2.4.0 - 10.0.0.0 - 10.0.1.0 - 10.0.2.0 - 10.2.6.0 - 10.3.0.0 - 10.3.1.0 - 10.3.2.0 - 10.3.4.0 - 10.3.5.0 - 12.1.1.0 ``` ### 关联漏洞链接 1. JBoss “Java 反序列化”过程远程命令执行漏洞 https://www.sebug.net/vuldb/ssvid-89723 2. Jenkins “Java 反序列化”过程远程命令执行漏洞 https://www.sebug.net/vuldb/ssvid-89725 3. WebSphere “Java 反序列化”过程远程命令执行漏洞 https://www.sebug.net/vuldb/ssvid-89727 4. 常见 Java Web 容器通用远程命令执行漏洞 https://www.sebug.net/vuldb/ssvid-89713 ### 参考链接 1. http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/ 2. https://access.redhat.com/solutions/2045023 3. http://d.hatena.ne.jp/Kango/touch/20151110/1447175137?from=singlemessage&isappinstalled=0

共 0 兑换了

PoC (pocsuite 插件) (pocsuite 插件)

贡献者 RickGray 共获得 100KB

登陆后兑换查看

共 1 兑换

影响图表

WebLogic 确定存在风险目标 TOP 国家与地区

WebLogic 确定存在风险目标主要版本分布图

WebLogic 确定存在风险目标全球分布情况

参考链接

http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/

解决方案

临时解决方案

暂无临时解决方案

官方解决方案

防护方案

暂无防护方案

wechat_ZZ 关注了该漏洞
yyff20000 兑换PoC
槿ny 关注了该漏洞
corener 关注了该漏洞
若无尘关注了该漏洞
wechat_༺Mr 夏༻ 关注了该漏洞
JeeWin 关注了该漏洞
公主关注了该漏洞
daliao 关注了该漏洞
catchme 关注了该漏洞
ever 关注了该漏洞
XiaoXu 参与了评论
XiaoXu 关注了该漏洞
Disorder 关注了该漏洞
l0wk3y 关注了该漏洞
k0shl 关注了该漏洞
正切关注了该漏洞
Redteam_白夜关注了该漏洞
名匿参与了评论
lix2 关注了该漏洞
RickGray 关注了该漏洞
oo 关注了该漏洞

生命线

FoxGlove 安全研究团队

发现/披露了漏洞
2015-11-14 提交了漏洞
2015-11-14 提交补充了漏洞详情
2015-11-14 提交补充了漏洞影响图表
2015-11-14 提交补充了漏洞影响图表
2015-11-14 提交更新了 PoC
2015-11-14 提交补充了漏洞影响图表
Fooying

2015-12-25 提交补充了漏洞影响厂商
Knownsec

2017-04-12 更新了照妖镜

相关漏洞

全部评论 (4)

匿名 2015-12-29

这个洞确实不错
回复 1 0
4F
名匿 2015-11-16

壕！！！
回复 1 0
3F
evilcos 2015-11-14

Weblogic这样的分布还是很奇怪，谁能解释下
- XiaoXu
  话说是在讲版本分布吗？现在有解了吗？官网上讲的受影响的几个版本和本文所列举的“影响版本”完全无交集。。。。。 10.3.6.0和12.1.3.0这两个版本亲测是存在漏洞的。 http://www.oracle.com/technetwork/topics/security/alert-cve-2015-4852-2763333.html Affected Products and Versions Oracle WebLogic Server, versions 10.3.6.0, 12.1.2.0, 12.1.3.0, 12.2.1.0 are affected.
回复 3 0
2F
匿名 2015-11-14

看ZoomEye公开的这点小情报我就已经坐不住了啊
回复 2 0
1F

※本站提供的任何内容、代码与服务仅供学习，请勿用于非法用途，否则后果自负

匿名 2015-12-29

这个洞确实不错

回复 1 0

名匿 2015-11-16

壕！！！

evilcos 2015-11-14

Weblogic这样的分布还是很奇怪，谁能解释下

XiaoXu
话说是在讲版本分布吗？现在有解了吗？官网上讲的受影响的几个版本和本文所列举的“影响版本”完全无交集。。。。。 10.3.6.0和12.1.3.0这两个版本亲测是存在漏洞的。 http://www.oracle.com/technetwork/topics/security/alert-cve-2015-4852-2763333.html Affected Products and Versions Oracle WebLogic Server, versions 10.3.6.0, 12.1.2.0, 12.1.3.0, 12.2.1.0 are affected.

回复 3 0

匿名 2015-11-14

看ZoomEye公开的这点小情报我就已经坐不住了啊

回复 2 0