Dromara Sa-Token 反序列化漏洞 (CVE-2025-15222) 深度解析

本文详细分析了CVE-2025-15222漏洞,该漏洞存在于Dromara Sa-Token框架的SaSerializerTemplateForJdkUseBase64.java文件中,涉及ObjectInputStream.readObject的不安全反序列化操作,攻击者可远程利用此漏洞。

CVE-2025-15222 - Dromara Sa-Token SaSerializerTemplateForJdkUseBase64.java ObjectInputStream.readObject 反序列化漏洞

概述

描述

在 Dromara Sa-Token 框架 1.44.0 及之前版本中发现一个漏洞。该问题影响文件 SaSerializerTemplateForJdkUseBase64.java 中的 ObjectInputStream.readObject 函数。此类操作会导致反序列化问题。攻击可以远程执行。此攻击的特点是高复杂性。可利用性被评估为困难。漏洞利用方法已公开披露,并可能被使用。供应商很早就收到了关于此披露的联系,但未做出任何回应。

信息

  • 发布日期: 2025年12月30日,上午5:32
  • 最后修改日期: 2025年12月30日,上午5:32
  • 远程利用: 否
  • 来源: VulDB

受影响产品

以下产品受 CVE-2025-15222 漏洞影响。即使 cvefeed.io 知晓受影响产品的确切版本,此信息也未在下表中体现。 尚无记录的受影响产品 总计受影响供应商: 0 | 产品: 0

解决方案

通过更新到安全版本来解决反序列化漏洞。

  • 将 Dromara Sa-Token 更新到 1.44.0 之后的版本。
  • 避免使用易受攻击的序列化方法。
  • 实施安全的反序列化实践。

漏洞利用与概念验证

我们扫描 GitHub 仓库以检测新的概念验证漏洞利用程序。以下列表是已在 GitHub 上发布的公共漏洞利用程序和概念验证的集合(按最近更新时间排序)。 由于潜在的性能问题,结果限制在前 15 个仓库。

相关新闻

以下列表是文章中任何地方提及 CVE-2025-15222 漏洞的新闻。 由于潜在的性能问题,结果限制在前 20 篇新闻文章。

EPSS评分

EPSS(漏洞利用预测评分系统)是对未来30天内观察到漏洞利用活动概率的每日估计。下图显示了该漏洞的EPSS评分历史记录。

注入

漏洞评分详情

此漏洞尚无可用的CVSS指标。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次