漏洞概述 在ZAP的Viewstate插件中发现了一个不安全的Java反序列化漏洞。该漏洞由Neo通过ProjectDiscovery报告,并在ZAP 2.17版本中被发现。 影响范围 受影响版本:ZAP 2.17及更早版本。 影响组件:Viewstate插件(默认未安装)。 影响平台:ZAP Desktop。 利用条件:需要用户交互。 修复方案 紧急更新:建议立即更新所有ZAP 2.17的插件。 自动更新:推荐启用ZAP插件的自动更新功能。 版本升级:如果使用旧版本的ZAP,请尽快升级到最新版本(当前为2.17)。 漏洞详情 漏洞触发 漏洞由ZAP用户选择包含恶意 值的响应触发。Viewstate插件解析了来自代理HTTP流量的 ,并在Viewstate面板渲染时反序列化。 漏洞代码 漏洞利用 调用是危险的,因为它会实例化类路径上的任何类。作为概念验证(PoC),研究人员成功触发了一个出站DNS查询。 为什么没有远程代码执行(RCE)? 初步报告和LLM分析表明RCE是可能的,但尝试了所有建议的模式后未能成功。原因如下: 1. 所有ZAP插件在各自的类加载器中运行,这是一个关键防御。 2. ZAP的依赖项保持最新。 尽管如此,其他人可能会找到从该漏洞触发RCE的方法。 后续步骤 初步修复是最快发布修复的方法,但ZAP团队正在调查其他可能的修复措施,以防止类似问题再次发生。 参考链接 GitHub PR ZAP Assurance Case 致谢 感谢来自Neo通过ProjectDiscovery的报告,以及与ZAP团队的合作,确保ZAP用户的安全。 相关链接 Automating OWASP FTK with ZAP (Phase 2)