CVE-2020-7961 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Liferay Portal 存在**反序列化漏洞**（Deserialization of Untrusted Data）。 💥 **后果**：远程攻击者可通过 **JSON Web Services (JSONWS)** 执行**任意代码**。 ⚠️ **核心**：未经验证的数据被直接反序列化，导致服务器被控。

🔍 **缺陷点**：**不信任数据的反序列化**。 📉 **CWE**：数据中未提供具体 CWE ID，但本质属于 **CWE-502** (反序列化不受信任的数据)。 🧠 **原因**：JSONWS 接口在处理输入时，未对对象类型进行严格校验，允许恶意构造的序列化对象被执行。

🏢 **厂商**：Liferay (美国)。 📦 **产品**：Liferay Portal。 📅 **受影响版本**：**7.2.1 CE GA2 之前**的所有版本。 🔧 **技术栈**：基于 J2EE，使用 EJB 及 JMS 技术。

👑 **权限**：**远程任意代码执行 (RCE)**。 📂 **数据**：攻击者可完全控制服务器，读取/篡改/删除任何数据。 🌐 **范围**：无需本地访问，通过网络即可远程利用。 💣 **利用链**：通过 JSONWS 接口注入恶意 Payload。

📶 **认证**：数据未明确说明是否需要认证，但通常 JSONWS 部分接口可能暴露。 ⚙️ **配置**：利用门槛**中等**。 🛠️ **条件**：攻击者需知道目标使用 Liferay Portal 且版本低于 7.2.1 CE GA2。 🔑 **关键点**：直接通过 JSON 接口发送恶意序列化数据即可触发。

📜 **PoC 存在**：✅ 是。 🔗 **来源**：GitHub 上有多个公开 PoC (如 `mzer0one/CVE-2020-7961-POC`, `thelostworldFree/CVE-2020-7961-payloads`)。 🛠️ **工具**：存在 GUI 工具 (`LifeRCEJsonWSTool`) 和 Golang 检测工具 (`GLiferay`)。…

🔎 **检测特征**： 1. 检查 HTTP 请求中是否包含 Liferay JSONWS 接口调用。 2. 扫描目标是否使用受影响版本的 Liferay Portal。 3. 使用 `GLiferay` 等专用工具进行自动化检测。 4. 监控日志中是否有异常的 Java 反序列化错误。

🛡️ **官方修复**：✅ 已发布安全公告。 📌 **修复方案**：升级至 **Liferay Portal 7.2.1 CE GA2** 或更高版本。 📅 **发布时间**：2020-03-20 左右公布。 🔗 **参考**：Liferay 官方安全门户 (portal.liferay.dev)。

🚧 **临时规避**： 1. **升级版本**：最优先措施。 2. **网络隔离**：限制 JSONWS 接口的访问权限，仅允许信任 IP。 3. **WAF 规则**：拦截包含恶意序列化特征的 JSON 请求。 4. **禁用不必要服务**：如果不需要 JSONWS，考虑禁用相关模块。

🔥 **优先级**：**极高 (Critical)**。 ⏳ **紧急程度**：🚨 **立即行动**。 💡 **理由**： 1. 远程代码执行 (RCE)。 2. 已有公开 PoC 和自动化攻击工具。 3. 已被用于组建僵尸网络，在野利用活跃。 4. 影响版本广泛，老旧系统风险极大。