XXL-RPC 任意代碼執行操作

來源: 投稿

作者: OSCS開源供應鏈安全

2023-10-19 14:53:00

漏洞描述

XXL-RPC是一個基于Netty和Hessian的分布式遠程調用框架。Hessian是在Java應用程序中進行對象序列化和反序列化的二進制序列化協議。

XXL-PRC中通過Hessian2Input.readObject反序列化用戶輸入數據，并依賴了存在漏洞的Caucho Hessian協議實現。

攻擊者可能利用該特性，向存在漏洞的RPC server發送惡意數據，執行任意代碼。

漏洞名稱	XXL-RPC 任意代碼執行操作
漏洞類型	反序列化
發現時間	2023-10-18
漏洞影響廣度	一般
MPS編號	MPS-lv03-dtjx
CVE編號	CVE-2023-45146
CNVD編號	-

影響范圍

com.xuxueli:xxl-rpc@(-∞, 1.7.0]

修復方案

1、避免RPC服務直接對外暴露 2、在JVM啟動命令中添加：-Djava.rmi.server.useCodebaseOnly=true。限制遠程類加載

參考鏈接

https://www.oscs1024.com/hd/MPS-lv03-dtjx

https://securitylab.github.com/advisories/GHSL-2023-052_XXL-RPC/

https://github.com/xuxueli/xxl-rpc

????

免費情報訂閱&代碼安全檢測

OSCS是國內首個開源軟件供應鏈安全社區，社區聯合開發者幫助全球頂級開源項目解決安全問題，并提供實時的安全漏洞情報，同時提供專業的代碼安全檢測工具為開發者免費使用。社區開發者可以通過配置飛書、釘釘、企業微信機器人獲取一手的情報。

免費代碼安全檢測工具： https://www.murphysec.com/?src=osc

免費情報訂閱： https://www.oscs1024.com/cm/?src=osc

具體訂閱方式詳見： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

展開閱讀全文

本站新聞禁止未經授權轉載，違者依法追究相關法律責任。授權請聯系：oscbianji#oschina.cn

本文標題：XXL-RPC 任意代碼執行操作

本文地址：http://www.doharose.com/news/262430

資訊來源：https://www.oscs1024.com/hd/MPS-lv03-dtjx?src=osc

熱門評論

ymgydx 2023-11-10 16:54

免費

Outshine 2023-10-29 13:01

PHP：我遙遙領先了？

變形精怪 2023-10-28 04:41

我手機在褲兜里，鎖屏狀態，跟朋友聊天了些很陌生的概念，打開頭條就會給我推相關新聞，微信朋友圈會有相關廣告，這種情況不是一次兩次了，不是外國的月亮更圓，是國內某些事惡心至極。

百小僧 2023-11-10 16:00

適合 .net core 開發用戶

osc_04614705 2023-11-07 15:18

貴陽本地IT圈的，剛聽到這個項目消息的時候確實比較驚訝，還特地去看了貴陽銀行的公告，4.27億不只是數據庫的，還有核心應用和其他應用、服務器、操作系統等等，這種扭曲事實、掐頭去尾的報到，想必是別有用心的人所為。還有就是這張“預祝海報”，自始至終人銀行官方都沒有發過，居然冒用銀行的logo和署名發布虛假海報，并且高調宣傳國外數據庫產品，我看“刑”。坐等官方消息吧，不信謠不傳謠！由此可見國產化道路充滿荊棘，衷心的祝愿國產技術越來越好！??

talent-tan 2023-11-09 14:31

牛逼的產品都是用訂單展示實力，我在遙遠的江蘇都能聽到陳總企業微信收款的聲音。實力不允許你低調了，韜光養晦已經韜不住了??

asdfghjkl12345678 2023-11-05 00:16

這又是哪個關系戶引進的？

IT寫輪眼 2023-10-30 16:06

余承東把這個詞給毀了. 原本一個褒義詞, 硬生生的毀成一個貶義詞

sxgkwei 2023-11-10 16:51

支持，就我用過的手機來說，華為的質量，確實比小米好很多。不過華為也是真的勾，手機安裝個網站下載的APP，又是各種檢測又是提示去它應用商店，然后讓你重下載的（下載不要時間，不要流量??？），一步步只管確認的習慣下，保證給點錯。好不容易都通過了，然后又必須在手機系統級別，讓登錄華為賬號，才讓你安裝，勾東西，安裝APP和登錄賬號有啥必然必要性么？搞得每次安裝非應用市場APP，下載完了，都要斷wifi，斷流量，才能愉快安裝，真是服了。還有華為手環，沒電了，充上電，非要連接APP做什么同步，正常得手環界面才能出現，我就搞不懂了，沒電了就是不同步時間，它上面其它功能就不能用了還是咋滴，就是完全不讓人用，真得太勾了。

yong230 2023-11-06 15:29

谷歌這么牛逼，咋不自己研發，還要收購安卓系統，2005年還要收購Skia 庫?

h4cd 2023-11-07 16:08

問題問得真真實。

PynixWang 2023-11-10 15:14

using Microsoft.OpenApi.Models; var builder = WebApplication.CreateBuilder(args); builder.Services.AddEndpointsApiExplorer(); builder.Services.AddSwaggerGen(c => { c.SwaggerDoc("v1", new OpenApiInfo { Title = "PizzaStore API", Description = "Making the Pizzas you love", Version = "v1" }); }); var app = builder.Build(); app.UseSwagger(); app.UseSwaggerUI(c => { c.SwaggerEndpoint("/swagger/v1/swagger.json", "PizzaStore API V1"); }); app.MapGet("/", () => "Hello World!"); app.Run();看了最新的C#，感覺越來越像JS了。

天朝八阿哥 2023-10-27 16:07

PDD怎么說？

Yokesily 2023-10-28 14:04

這年頭，到處都是重新定義，混淆忽悠，稍微能說真話都值得稱贊

Im曉莊 2023-11-10 17:19

上面4個收費評論???

foobra 2023-11-08 11:58

不錯，重新定義了《可能》《實際體驗》

fzn0268 2023-11-10 16:30

dei，就是錢多

luke0202 2023-10-31 10:20

還是喜歡原來的前端, 現在前端搞的太復雜了，得搭環境，還容易出各種問題，網絡問題，各種版本問題等?，F在用 JQuery 跟兼不兼容IE沒太大關系，IE 都死了，使用 JQuery 輕量簡潔，還有豐富的插件使用。

TPM-osc_73581235 2023-11-06 17:38

哪里有銀行公告說我們升級替換數據庫的，公告不都是業務系統升級嗎？這年頭開源技術論壇也來造謠一張嘴辟謠跑斷腿啊

苦行瓜 2023-10-29 17:26

黑客：哈哈，終于光明正大地搞SQL注入攻擊了

明月驚鵲amita 2023-11-10 16:19

領完免費的，用它寫了些業務邏輯，感覺有點東西啊，居然比codeium推薦出來的還準，要是能支持eclipse就更好了

ydhh 2023-11-04 09:44

致力于開源的開發者都是特別灑脫的人,不然一個自私的人怎么可能花自己的時間貢獻、分享出自己的成果

cpddddddd 2023-11-10 17:23

試用了一下感覺不錯，學生黨綁定edu郵箱可不可以優惠一下捏

GG-Bond 2023-11-10 15:11

吉魅OS

zoujiaqing 2023-11-01 01:21

國內就這水平還打壓科技企業呢？跟美國怎么打科技仗？鼠目寸光的規劃?。?！

加百列Gabriel 2023-11-03 14:51

大概率是個一點技術都不懂的HR, 一點都不明白開源是什么, linus在他眼里估計也瞧不上

wn1993 2023-11-10 15:50

試了下雖然有瑕疵但是還不錯，繼續加油吧，對個人用戶能不能再優惠些？

山下農-山上仙 2023-11-03 13:49

感覺似乎有些道理

Francesca 2023-10-30 21:18

國產又不是只有華為，不知道有什么好吹的，小米，vivo，oppo都很牛，絲毫不輸華為

百小僧 2023-11-10 15:59

謝謝~

百小僧 2023-11-10 15:59

用戶自由選擇~

一支小蜜蜂 2023-11-10 16:18

學生黨試用了一下，感覺還可以，希望能夠多免費幾天，或者給一些教育優惠

哈庫納 2023-11-10 17:04

不看好文心一言，一堆問題，連個最基本的英文翻譯都搞不定。

amita 2023-11-06 08:36

太短視了。能無私投入開源的大概率屬于開放、喜歡分享、易合作人群，這其實屬于軟實力。很多程序員只能作打工人，是因為自私自利心太重，難以適應商業的開放合作特性

LookEyes 2023-11-10 14:50

你們？不過？多花“點”？唄？要不你買“點”看看？

一介農夫 2023-10-28 11:17

從要求實名制的時候就沒有建立統一的真實信息存儲服務，從而導致大量的機構借這個要求肆意收集用戶信息并且這些數據更精確了，真要追究起來，追責的是 ZF

newwell 2023-11-10 14:54

中文不是一直都叫廢了米嗎

Yeedot 2023-11-10 14:22

已經用上了

kakai 2023-10-31 20:47

我就想知道，離職了能不能帶走

丶凡塵 2023-11-10 16:13

公司自己會考慮性價比的自己當老板就是到了

LongCity 2023-11-02 16:13

下次恢復回來，又是一次性能大幅度提升

phper08 2023-11-10 14:42

懶得折騰

sunday12345 2023-11-10 14:20

難道你們真買不到 A100 H800 了？？？不過是多花點錢唄～

PynixWang 2023-11-10 15:11

和asp.net webapi相比有什么優勢嗎？更符合中國開發者寶寶體質？

asdfghjkl12345678 2023-10-30 12:17

還是喜歡原來的前端, 現在前端搞的太復雜了

兇殘的花生米 2023-11-10 16:51

膜拜大佬

對岸的老賈 2023-11-10 16:10

剛試了下用著還行啊，隨便寫幾行感覺不比Copilot差太多。多少也給國內的程序員多了一個選擇

雲霽 2023-11-10 14:51

免費試用，先試試再說

leiaoo 2023-11-10 15:08

我等啥時候文心一言能夠正面回答關于魏則西的問題再使用

-SORA- 2023-11-03 22:32

國外技術團隊都在致力于豐富web生態，而國內只會抱怨《還是喜歡原來的前端, 現在前端搞的太復雜了》。

taolive 2023-11-01 07:16

后面出的都太厚了，沒購買欲了

七合一的那只小金剛 2023-11-10 15:21

等不到了。。。

漫步海邊小路 2023-11-06 16:56

桌面處理器很難搞，絕大多數中國用戶只會用windows,而龍芯注定只能用linux等系統。中國的linux軟件生態極其差，大廠沒幾個真正可用的項目，qq for linux 除外，qq音樂和百度云網盤也還行。網易云音樂的linux也沒了，之前還有幾個出過linux版軟件的也沒后續了，而微信堅決不重視linux,只出了個uos能用的極其簡易的版本

LiveLongLife 2023-11-10 17:44

能不能不要給中國推送更新，又用不了還占內存

風沐流螢 2023-11-01 10:28

夸克剛出的時候還很簡潔好用，后來就是廣告加會員加一堆用不上的臃腫功能，現在又是搞澀，簡直和當年的UC一模一樣，估計下一步就是震驚部了。

開源中國首席醬油官 2023-10-30 15:35

還是喜歡原來的前端, 現在前端搞的太復雜了

osc_23301501 2023-11-10 16:45

不支持連體嗎

曬太陽的小豬 2023-11-10 17:38

功德無量，造福世界?。?！

明月驚鵲 2023-11-10 14:19

律呂！

我的ID是jmjoy 2023-10-31 09:19

華為遭國人討厭，很大程度就是余承東造成的

?OSCHINA(OSChina.NET)

工信部

開源軟件推進聯盟

指定官方社區

社區規范

深圳市奧思網絡科技有限公司版權所有

粵ICP備12009483號

頂部

一本久久综合亚洲鲁鲁五月天,无翼乌口工全彩无遮挡H全彩,英语老师解开裙子坐我腿中间