xmlrpc common deserialization:CVE 2019 17570详细信息和概念证明 源码

xmlrpc常见的反序列化漏洞 本说明是一个技术说明,详细说明了根本原因和相关的利用。 您可以在找到初始披露。 关联的CVE为CVE-2019-17570。 描述 xmlrpc-common构成xmlrpc-client和xmlrpc-server之间的共享代码库。 在org.apache.xmlrpc.parser.XmlRpcResponseParser.addResult(Object)方法中发现了反序列化漏洞。 它使攻击者控制的xmlrpc服务器能够发送恶意的xmlrpc答复,这将触发xmlrpc客户端中的远程代码执行。 反序列化是通过使用xmlrpc错误触发的,其中可能包含faultCause 。 该节点的内容作为字节数组处理,随后使用readObject()反序列化为Java对象: protected void addResult(Object pResult) throw