Apache Jmeter RMI 反序列化

Apache Jmeter 反序列化描述Apache Jmeter是一款旨在为负载测试功能行为和测量性能的开源的Java应用程序。Apache JMeter在分布式模式下使用不安全的RMI连接存在远程命令执行漏洞,攻击者可利用漏洞执行任意命令。Apache JMeter uses an unsecure RMI connection in Distributed modeWhen using Di...

Apache Jmeter 反序列化

描述

Apache Jmeter是一款旨在为负载测试功能行为和测量性能的开源的Java应用程序。

Apache JMeter在分布式模式下使用不安全的RMI连接存在远程命令执行漏洞,攻击者可利用漏洞执行任意命令。

Apache JMeter uses an unsecure RMI connection in Distributed mode

When using Distributed Test only (RMI based), Apache JMeter 2.x and 3.x uses an unsecured RMI connection. This could allow an attacker to get Access to JMeterEngine and send unauthorized code.

漏洞编号

CVE-2018-1297

CNVD-2018-03472

威胁等级

高危

影响版本

Apache JMeter 2.x

Apache JMeter 3.x

漏洞演示

exploit.gif

修复建议

目前没有详细的解决方案提供。

Exp下载

https://github.com/iBearcat/CVE-2018-1297

相关链接

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1297

http://mail-archives.apache.org/mod_mbox/www-announce/201802.mbox/%[email protected].com%3E

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03472

文章版权归原作者所有,转载需取得作者本人同意 并注明出处:https://www.secfree.com/article-734.html

联系我们

邮件:[email protected]