SpringFramework使用来自commons.collections的InvokerTransformer吗？

Question

昨天宣布了反序列化漏洞(CVE-2015-4852)：

广布

SpringFramework使用commons.collections。

如果SpringFramework使用InvokerTransformer，则可能存在反序列化漏洞(CVE-2015-4852)。

SpringFramework是否使用来自commons.collections的InvokerTransformer？

Answer 1

我相信这个问题是不对的。

这个CVE的好问题是：是类路径中的吗？(更具体地说，InvokerTransformer)

如果答案是肯定的，那么一旦应用程序从任何不安全的源反序列化对象，它就会非常容易受到攻击。

如果答案是否定的，则应用程序不容易受到Invokertransformer的攻击，但如果未经适当检查仍在从不受信任的源反序列化对象，则仍有可能受到其他类型的黑客攻击。

问题主要来自于序列化和反序列化的能力.因此，InvokerTransformer只是不安全实践冰山的可见部分。不过，这是一个大而简单的成功。

当序列化版本不受控制时，反序列化对象意味着解压魔术盒。