FoxGloveSecurity安全团队公开了一篇文章,介绍了在常用的JAVA Web应用服务器上利用Apache Commons Collections库反序列化漏洞实现远程代码执行的方法,并公开了PoC代码。
受影响的应用服务器包括:WebSphere、JBoss、Jenkins、WebLogic和OpenNMS,均为最新版。
因为受影响的多家厂商在今年1月拿到PoC至今都没有对该问题做任何修复,所以短期内并不会有官方补丁放出,如果很重视这个安全问题并且想要有一个临时的解决方案可以参考Nibble Security公司的ikkisoft在Github上放出了一个临时补丁。