关键漏洞信息 CVE编号: CVE-2016-1000031 漏洞名称: Apache Commons FileUpload DiskFileItem File Manipulation Remote Code Execution 组件: Commons FileUpload 优先级: Critical 受影响版本: 1.3.2 修复版本: 1.3.3 状态: Closed 解决方式: Fixed 描述 摘要: 存在一个Java对象在Apache Commons FileUpload库中,它可以被操纵,当反序列化时,它可以在任意位置写或复制文件到磁盘。此外,该对象可以单独使用,也可以与ysoserial结合使用,在单次反序列化调用中上传和执行二进制文件。这可能取决于应用程序对FileUpload库的实现。 背景: 2015年底,FoxGlove Security发布了一篇关于使用Chris Frohoff的ysoserial工具在各种商业产品上获得远程代码执行的文章,基于2015年1月在AppSec Cali的展示。ysoserial工具使用"小工具"在Apache Commons Collections、Groovy和Spring中完成"不期望的"操作,这些ysoserial载荷最终执行Runtime.getRuntime().exec()以允许远程Java代码执行。FileUpload库中的DiskFileItem类是可序列化的,并且实现自定义的writeObject()和readObject()函数。 关联链接: http://www.tenable.com/security/research/tra-2016-12