漏洞总结:OpenAM 反序列化远程代码执行 漏洞概述 OpenAM 16.0.5(及更早版本)存在反序列化漏洞(CVE-2021-35464 的变体/绕过)。 原理:虽然 CVE-2021-35464 修复了 参数的反序列化问题(引入了 ),但 JATO 框架中存在第二个未被修补的反序列化入口点 。 利用方式:未授权攻击者可以向任何包含 标签的 JATO WebBean 端点发送构造的序列化 Java 对象(作为 GET/POST 参数),从而绕过白名单限制,实现任意命令执行(RCE)。 影响范围 OpenAM 16.0.5 (官方发布版本) 任何保留了未修补 方法的 OpenAM 版本。 修复方案 1. 对 应用 过滤(与 的修复一致)。 2. 审计所有 的调用,以处理用户控制输入。 3. 考虑添加 JVM JEP 290 反序列化过滤器作为纵深防御措施。 相关代码 1. 受影响代码 (Affected Code) 2. 利用链 (Gadget Chain)