关于SOFARPC反序列化漏洞(CVE-2024-23636)的预警提示

发布者:jsut发布时间:2024-01-29浏览次数:665

一、漏洞详情

SOFARPC 是一个Java RPC框架。

近日,监测到SOFARPC中修复了一个反序列化漏洞(CVE-2024-23636),由于SOFARPC 默认使用SOFA Hessian协议来反序列化接收到的数据,而SOFA Hessian协议使用黑名单机制来限制危险类的反序列化。SOFARPC 版本5.12.0之前,威胁者可通过Gadget链(只依赖于JDK,不依赖任何第三方组件)绕过SOFA Hessian黑名单保护机制,导致远程代码执行。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

SOFARPC < 5.12.0

三、修复建议

目前已通过添加黑名单修复了该漏洞,受影响用户可升级到SOFARPC 版本5.12.0