一、漏洞详情
SOFARPC 是一个Java RPC框架。
近日,监测到SOFARPC中修复了一个反序列化漏洞(CVE-2024-23636),由于SOFARPC 默认使用SOFA Hessian协议来反序列化接收到的数据,而SOFA Hessian协议使用黑名单机制来限制危险类的反序列化。SOFARPC 版本5.12.0之前,威胁者可通过Gadget链(只依赖于JDK,不依赖任何第三方组件)绕过SOFA Hessian黑名单保护机制,导致远程代码执行。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
SOFARPC < 5.12.0
三、修复建议
目前已通过添加黑名单修复了该漏洞,受影响用户可升级到SOFARPC 版本5.12.0。