安全情报专区 407— 搜索: 反序列化×

TCL 10.0 序列化数据验证不足导致内存安全问题 (CVE-2026-34877)

根据用户的要求，我需要从提供的网页截图中提取关于漏洞的关键信息，并用简洁的中文markdown格式进行总结。 **1. 漏洞概述 (Vulnerability Overview):** * **标题:** Risk of insufficient validation of serialized session or context data leading to potential memory…

Roundcube Redis会话处理器反序列化导致任意文件写入漏洞修复

用户希望我总结一张GitHub提交页面的截图，重点在于漏洞信息。 **1. 分析图片内容：** * **标题/Commit Message:** "Fix pre-echo arbitrary file write via unsafe deserialization in redis/rediscache session handler"。这直接点明了漏洞类型：任意文件写入（arbitrary …

# 漏洞总结 ## 漏洞概述 **漏洞名称**：Apache ActiveMQ 远程代码执行漏洞 (CVE-2023-46604) **漏洞类型**：远程代码执行 (RCE) **漏洞描述**：Apache ActiveMQ 的 OpenWire 协议存在反序列化漏洞。攻击者可以通过构造恶意的 OpenWire 数据包，利用 `MarshalledInputStream` 中的 `readObje…

NASA cFS Ground System 反序列化RCE漏洞分析

根据用户的要求，我需要从提供的网页截图中提取关于漏洞的关键信息，并用简洁的中文Markdown格式进行总结。 **1. 漏洞概述 (Vulnerability Overview):** * **标题:** NASA cFS 7.0.0 Code Execution (NASA cFS 7.0.0 代码执行) * **描述:** 这是一个反序列化漏洞。攻击者可以通过修改 `cFS Ground Sy…

Modular Max: 移除Zmq Socket中Pickle默认序列化修复反序列化漏洞

### 关键信息摘要 #### 漏洞描述 此提交 `ee9c4ab` 主要关注解决 Zmq Sockets 中的序列化问题，具体涉及以下方面： 1. **Pickle 默认序列化移除：** - **问题背景：** - 之前代码中在 Zmq Sockets 中使用了 Python 的 `pickle` 库进行默认序列化和反序列化。 - `pickle` 由于存在反序列化攻击的风险，被认定为潜在的安全…

jsonpickle documentation

### jsonpickle 漏洞总结 #### 漏洞概述 jsonpickle 模块在处理数据时存在安全风险。该模块允许用户将任意 Python 对象序列化为 JSON 格式，并在反序列化时重新构造这些对象。然而，如果反序列化来自不可信来源的数据，可能会导致执行任意代码。 #### 影响范围 - **受影响模块**：jsonpickle - **影响场景**：当使用 jsonpickle 反序列…

GPT-SoVITS 多起反序列化导致RCE漏洞 (CVE-2025-49837至49841)

### 关键漏洞信息 #### 漏洞编号 - GHSL-2025-049 - GHSL-2025-053 #### 漏洞类型 - 远程代码执行 (RCE) #### 影响的组件 - GPT-SoVITS #### 相关CVE编号 - CVE-2025-49837 - CVE-2025-49838 - CVE-2025-49839 - CVE-2025-49840 - CVE-2025-49841 …

GitHub - jsonpickle/jsonpickle: Python library for serializing any arbitrary object graph into JSON. It can take almost

### jsonpickle 漏洞总结 #### 漏洞概述 jsonpickle 是一个用于将 Python 对象序列化为 JSON 格式的库。然而，该库存在一个严重的安全漏洞，允许攻击者通过构造恶意 pickle 数据来执行任意 Python 代码。 #### 影响范围 - **受影响版本**：所有版本的 jsonpickle。 - **影响场景**：当用户反序列化来自不可信来源或可能被篡改的数…

From SQLi to RCE - Exploiting LangGraph’s Checkpointer - Check Point Research

### 漏洞概述 LangGraph 是一个用于构建多智能体 AI 系统的开源框架，具有内置持久化功能。LangGraph 的持久化层（Checkpointer）存在两个严重漏洞： 1. **SQL 注入漏洞（CVE-2025-67644）**：允许攻击者通过 SQL 注入执行任意代码。 2. **MsgPack 不安全反序列化漏洞（CVE-2025-28277）**：允许攻击者通过反序列化恶意数…

APScheduler JSONSerializer反序列化RCE漏洞(CVE-2026-31072)分析

# APScheduler JSONSerializer 反序列化远程代码执行漏洞 (CVE-2026-31072) ## 漏洞概述 APScheduler 的 `JSONSerializer`（以及 `CBORSerializer`）虽然被文档标记为比 Python `pickle` 更安全，但其自定义的对象重建机制允许任意类实例化和状态注入。攻击者通过发送特制的序列化数据，可触发反序列化过程，…

systemd CVE-2018-15686 序列化/反序列化漏洞修复分析

以下是关于漏洞的关键信息，以简洁的Markdown格式返回： ```markdown ## 漏洞关键信息 - **漏洞编号**: CVE-2018-15686 - **漏洞描述**: - 这一Pull Request (PR) 引入了一种比较结果总是相同的警报，影响了 `src/basic/exec-util.c` 文件中的代码。 - PR 主要修复了 `systemd` 中的序列化/反序列化问题…

MixPHP 2.x Deserialization RCE and SQL Injection (CVE-2026-37552, CVE-2026-42471 through 42475) · GitHub

# MixPHP Framework 反序列化 RCE 与 SQL 注入漏洞总结 ## 漏洞概述 MixPHP 框架存在多个严重安全漏洞，包括通过 `unserialize()` 函数导致的远程代码执行（RCE）以及 SQL 注入漏洞。攻击者可通过构造恶意数据触发漏洞，获取服务器控制权或窃取数据库信息。 ## 影响范围 - **受影响版本**：MixPHP 2.x 至 2.2.17 - **漏洞编…

Roundcube 不安全反序列化文件写入及 INP 注入修复

根据用户提供的截图，我需要提取关于漏洞的关键信息，包括概述、影响范围和修复方案，并提取任何可见的POC或利用代码。 1. **漏洞概述 (Vulnerability Overview):** * 标题: `Fix INP Injection + CRLF bypass in mail search` * 描述: `Security: Fix php code arbitrary file writ…

Apache ActiveMQ CVE-2023-46604 远程代码执行漏洞分析与修复指南

# 漏洞总结 ## 漏洞概述 * **漏洞名称**：Apache ActiveMQ 远程代码执行漏洞 (CVE-2023-46604) * **漏洞类型**：远程代码执行 (RCE) * **漏洞成因**：Apache ActiveMQ 的 OpenWire 协议存在反序列化漏洞。攻击者可以通过构造恶意的 OpenWire 数据包，利用 Java 反序列化机制在目标服务器上执行任意代码。 ## 影…