关键信息提取 影响产品 NutzBoot (LiteRPC + Loach 模块) 版本信息 受影响版本: 2.6.0-SNAPSHOT (当前 dev 分支, 自行检查具体提交) 早期暴露了 LiteRPC HTTP 端点的版本也可能受影响。暂无已发布的修复版本。 厂商官网: Nutz Framework 漏洞类型 未授权 Java 反序列化导致远程代码执行 (RCE) 漏洞成因 1. 无条件接受来自攻击者的序列化设置,并直接调用 反序列化对象。 2. 无条件发布所有 RPC 注册信息,导致可通过 发现方法特征。 影响 攻击者无需授权即可发送序列化数据,触发任意代码执行,以 NutzBoot 服务进程权限执行。 漏洞说明 未授权可通过 进行 Java 反序列化,默认设置无过滤,攻击者可枚举 RPC 方法并选择合适的 Gadget 触发攻击。 漏洞位置 URL 处理由 处理。 漏洞复现步骤 1. 获取 RPC 服务元数据: 2. 生成恶意序列化数据负载: 3. 发送负载到 : 修复建议 1. 禁用或删除 JDK 序列化方式,转用安全协议 (JSON/Kryo) 进行传输。 2. 强制要求客户端通过参数而非请求头设置序列化方法。 3. 对 进行身份验证和授权检查。 4. 限制 等服务列表 API 的调用权限。