https://blog.qife122.com/tags/sa-token/ Recent content in Sa-Token on 办公AI智能小助手 Hugo zh-cn qife Tue, 30 Dec 2025 14:33:36 +0800 https://blog.qife122.com/p/dromara-sa-token-%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E-cve-2025-15222-%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ Tue, 30 Dec 2025 14:33:36 +0800 https://blog.qife122.com/p/dromara-sa-token-%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E-cve-2025-15222-%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ <h1 id="cve-2025-15222---dromara-sa-token-saserializertemplateforjdkusebase64java-objectinputstreamreadobject-反序列化漏洞">CVE-2025-15222 - Dromara Sa-Token SaSerializerTemplateForJdkUseBase64.java ObjectInputStream.readObject 反序列化漏洞</h1> <h2 id="概述">概述</h2> <h3 id="描述">描述</h3> <p>在 Dromara Sa-Token 框架 1.44.0 及之前版本中发现一个漏洞。该问题影响文件 <code>SaSerializerTemplateForJdkUseBase64.java</code> 中的 <code>ObjectInputStream.readObject</code> 函数。此类操作会导致反序列化问题。攻击可以远程执行。此攻击的特点是高复杂性。可利用性被评估为困难。漏洞利用方法已公开披露，并可能被使用。供应商很早就收到了关于此披露的联系，但未做出任何回应。</p> https://blog.qife122.com/p/%E5%89%96%E6%9E%90dromara-sa-token%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9Ecve-2025-15117/ Mon, 29 Dec 2025 14:11:59 +0800 https://blog.qife122.com/p/%E5%89%96%E6%9E%90dromara-sa-token%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9Ecve-2025-15117/ <h1 id="cve-2025-15117-dromara-sa-token-反序列化漏洞">CVE-2025-15117: Dromara Sa-Token 反序列化漏洞</h1> <p><strong>严重性</strong>: 低 <strong>类型</strong>: 漏洞</p> <h2 id="cve-2025-15117">CVE-2025-15117</h2> <p>在 Dromara Sa-Token 1.44.0 及之前版本中发现一处缺陷。此缺陷影响文件 <code>SaJdkSerializer.java</code> 中的 <code>ObjectInputStream.readObject</code> 函数。执行特定操作可导致反序列化问题。攻击可以远程发起。此攻击的特点是高复杂度。其可利用性被评估为困难。供应商在此漏洞被披露前已收到通知，但未作出任何回应。</p>