关键漏洞信息 漏洞概述 漏洞类型: 反序列化不受信任的数据导致远程代码执行 (RCE) CVE ID: CVE-2020-5436 CVSS v3.1 评分: 8.6/10 严重性: 高 影响版本 受影响版本: 1.8.182 修复版本: 1.8.186 漏洞描述 产品: FreeScout 版本: 1.8.182 CVE-ID: CWE-502: 反序列化不受信任的数据 CAPEC ID: CAPEC-50: 对象注入 CVSS v3.1 向量: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H 漏洞参数 易受攻击的参数: POST attachments_all[] 利用条件 授权用户: 是 APP.KEY 知识: 是 推荐措施 配置 Web 服务器以防止接收不受信任的反序列化数据。 使用替代数据格式(如 JSON 或 XML)代替序列化对象。 实现数据完整性检查(例如,使用 HMAC 哈希函数)。 创建单独的对象来存储反序列化数据,以确保数据通过安全输入验证。 使用瞬态字段来表示不应被序列化的数据。 研究人员 Danil Satyshev, Roman Chernykh, Artem Danilov (Positive Technologies) 漏洞代码示例 利用场景示例