2020年03月20日,Code White发现了影响Liferay Portal版本6.1、6.2、7.0、7.1和7.2的多个关键级别的JSON反序列化漏洞。它们允许通过JSON web服务API执行未经身份验证的远程代码。修复的Liferay Portal版本有6.2 GA6、7.0 GA7、7.1 GA4和7.2 GA2。
Liferay(又称Liferay Portal)是一个开源门户项目,该项目包含了一个完整的J2EE应用,以创建Web站点、内部网,以此来向适当的客户群显示符合他们的文档和应用程序。
Liferay Portal: 6.1、6.2、7.0、7.1、7.2
Liferay Portal 提供了 Json Web Service 服务,对于某些可以调用的端点,如果某个方法提供的是 Object 参数类型,那么就能够构造符合 Java Beans 的可利用恶意类,传递构造好的 json 反序列化串,y 反序列化时会自动调用恶意类的 setter 方法以及默认构造方法。