JBoss 5.x/6.x 反序列化漏洞( 反 CVE-2017-12149)

环境 

vulhub +docker 搭建

 

 

 

访问 /invoker/readonly
返回500,说明页面存在,此页面存在反序列化漏洞

 

 

github 上 有可用的exp

 

https://github.com/yunxu1/jboss-_CVE-2017-12149

验证

 

 

 

 

 

 

 修复

 

不需要 http-invoker.sar 组件的用户可直接删除此组件

添加如下代码至 http-invoker.sar 下 web.xml 的 security-constraint 标签中,对 http invoker 组件进行访问控制:
<url-pattern>/*</url-pattern>

 

posted @ 2021-03-13 21:43  ze_z  阅读(126)  评论(0)    收藏  举报