CVE-2025-12305 shiyi-blog SysJobController反序列化远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-12305

漏洞类型

反序列化漏洞

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

quequnlong shiyi-blog

漏洞概述

CVE-2025-12305是存在于quequnlong shiyi-blog项目中的一个高危反序列化漏洞。该漏洞位于src/main/java/com/mojian/controller/SysJobController.java文件的Job Handler组件中，由于对用户输入的反序列化数据缺乏充分的验证和过滤，攻击者可以通过构造恶意的序列化对象，在目标服务器上实现远程代码执行（RCE）。该漏洞影响shiyi-blog 1.2.1及以下所有版本，CVSS评分6.3，属于中危漏洞。攻击向量为网络攻击，认证要求为低权限，无需用户交互即可发起攻击。漏洞已被公开利用，攻击者可利用Apache Commons Collections、Spring Framework或其他 Gadget 链构造恶意payload，在反序列化过程中触发任意方法调用，最终获得服务器控制权限。由于该漏洞影响广泛且利用难度较低，建议受影响用户立即采取修复措施。

技术细节

该漏洞存在于shiyi-blog的SysJobController.java中的Job Handler功能模块。Java反序列化漏洞是常见的安全问题，当应用程序对不可信数据执行反序列化操作时，攻击者可以构造包含恶意代码的序列化对象。在shiyi-blog中，Job Handler组件接收并处理序列化数据时未进行严格的安全检查。攻击者可以利用Java反序列化Gadget链（如Apache Commons Collections的Transformer链、Spring框架的BeanWrapperImpl等）构造恶意payload。当服务器反序列化攻击者提供的恶意对象时，会触发一连串的方法调用链，最终执行任意代码。常见的利用方式是通过ysoserial工具生成特定Gadget链的序列化payload，然后将其作为Job Handler的输入数据发送到目标服务器。该漏洞的利用需要低权限认证，但不需要用户交互，攻击者可以通过HTTP请求远程触发。由于该漏洞已被公开披露，互联网上可能已存在可用的exploit代码，攻击者可以轻松获取并利用此漏洞攻击未修复的系统。

攻击链分析

STEP 1

步骤1

信息收集：攻击者首先识别目标网站使用的shiyi-blog版本，确认版本在1.2.1及以下，并定位SysJobController.java中的Job Handler端点

STEP 2

步骤2

构造恶意payload：攻击者使用ysoserial工具（如ysoserial.jar）生成包含恶意代码的序列化对象，选择合适的Gadget链（如CommonsCollections6、ROME等）构造RCE payload

STEP 3

步骤3

发送攻击请求：攻击者通过HTTP POST请求将恶意序列化数据发送到Job Handler的漏洞接口，Content-Type设置为application/x-java-serialized-object

STEP 4

步骤4

触发反序列化：服务器接收到恶意序列化数据后，在Job Handler中调用ObjectInputStream.readObject()进行反序列化，触发Gadget链中的恶意代码执行

STEP 5

步骤5

远程代码执行：Gadget链被触发后，通过反射调用Runtime.exec()或类似方法执行系统命令，攻击者获得服务器shell访问权限

STEP 6

步骤6

权限维持：攻击者可以进一步植入后门、窃取数据或横向移动到其他系统，完成完整的入侵过程

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import pickle
import base64
import requests

# CVE-2025-12305 PoC - shiyi-blog Deserialization RCE
# This is a conceptual PoC for educational purposes only

# Note: Actual exploitation requires identifying the specific gadget chain
# and the vulnerable deserialization point in SysJobController.java

def generate_malicious_payload(gadget_chain='commons-collections'):
    """
    Generate malicious serialized payload using ysoserial concept
    gadget_chain: commons-collections, spring-aop, etc.
    """
    # In real scenario, use ysoserial tool:
    # java -jar ysoserial.jar [gadget-chain] 'command'
    # Example: java -jar ysoserial.jar CommonsCollections6 'touch /tmp/pwned'
    
    # This is a placeholder - actual payload generation requires:
    # 1. ysoserial tool
    # 2. Identification of available gadget chains in the application
    # 3. Specific target endpoint in SysJobController
    
    # Example command to generate payload:
    # payload = subprocess.check_output([
    #     'java', '-jar', 'ysoserial.jar', gadget_chain, 'whoami'
    # ])
    
    return b'MALICIOUS_SERIALIZED_DATA_PLACEHOLDER'

def exploit_target(target_url, payload):
    """
    Send malicious payload to vulnerable endpoint
    """
    # Target endpoint typically in Job Handler:
    # /api/job/execute or similar endpoint in SysJobController
    
    headers = {
        'Content-Type': 'application/x-java-serialized-object',
        'User-Agent': 'Mozilla/5.0'
    }
    
    try:
        # Example POST request to trigger deserialization
        # response = requests.post(
        #     f'{target_url}/api/sysjob/execute',
        #     data=payload,
        #     headers=headers,
        #     timeout=10
        # )
        pass
    except requests.exceptions.RequestException as e:
        print(f'Request failed: {e}')

if __name__ == '__main__':
    # Usage example:
    # target = 'http://vulnerable-server:8080'
    # payload = generate_malicious_payload('commons-collections6')
    # exploit_target(target, payload)
    print('PoC for CVE-2025-12305 - shiyi-blog Deserialization RCE')
    print('Use ysoserial to generate actual payload')

影响范围

shiyi-blog <= 1.2.1

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：1）使用网络层ACL限制对Job Handler端点的访问，仅允许受信任的IP地址访问；2）在应用层添加请求拦截器，对包含序列化数据的请求进行检测和阻断；3）禁用或暂时关闭SysJobController的远程调用功能；4）启用详细的访问日志和反序列化操作日志，实时监控可疑活动；5）考虑使用云WAF或自建IDS/IPS系统检测CVE-2025-12305相关的攻击特征；6）对系统进行纵深防御，确保即使漏洞被利用，攻击者也无法获得完整服务器权限。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-12305
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-12305
3 Details https://www.cvedetails.com/cve/CVE-2025-12305/
4 VulDB https://vuldb.com/cve/CVE-2025-12305
5 Link https://github.com/dongodid/cve-sub/blob/main/shiyi-blog/RCE.md
6 Link https://vuldb.com/?ctiid.329977
7 Link https://vuldb.com/?id.329977
8 Link https://vuldb.com/?submit.676725
9 Link https://vuldb.com/?submit.676730