【原创0day】金蝶天燕应用服务器IIOP反序列化远程代码执行漏洞（NVDB-CITIVD-2025865374）

长亭安全应急响应中心 2025-04-24 10:10

金蝶Apusic应用服务器（Apusic Application Server，AAS）是一款企业级中间件，全面支持JakartaEE规范，提供Web、EJB、WebService容器，适配国产软硬件，用于支撑企业级应用运行。2025 年 3 月，长亭安全研究员发现了金蝶 Apusic 应用服务器中存在 IIOP 反序列化远程代码执行漏洞，并第一时间向监管单位报送了漏洞。目前金蝶天燕官方发布了新版本，修复了该漏洞。攻击者无需认证即可利用该漏洞，建议受影响的客户尽快修复漏洞。
漏洞描述

Description

01

漏洞成因该漏洞源于金蝶天燕应用服务器在处理 IIOP 协议请求时，存在 Java 反序列化漏洞。服务器暴露接口允许远程客户端通过 IIOP 协议进行交互，且服务器未对反序列化数据进行有效验证和过滤，攻击者可以构造恶意的序列化数据并发送到服务器，从而实现远程代码执行。漏洞影响远程代码执行：攻击者可以在目标服务器上执行任意代码，获取完全控制权。服务器入侵：可以执行后门植入、数据窃取等操作。处置优先级：高漏洞类型：Java反序列化漏洞危害等级：高触发方式：网络远程权限认证要求：无需权限系统配置要求：默认配置可利用用户交互要求：无需用户交互利用成熟度：POC/EXP 已公开修复复杂度：低，官方提供升级修复方案影响版本 Affects 02Apusic 应用服务器软件 V10.0 企业版 SP1-SP8解决方案 Solution 03临时缓解方案可参考官方漏洞通告[1]限制 IIOP 端口只允许本机访问，或在不影响业务的情况下禁用 IIOP 协议。升级修复方案官方已发布修复版本，可在参考链接[1]进行下载更新。漏洞复现Reproduction 04产品支持Support05云图：默认支持该产品的指纹识别，同时支持该漏洞的原理PoC检测洞鉴：预计 4.28 发布更新支持该漏洞检测雷池：非HTTP漏洞，不支持检测全悉：已发布规则升级包支持该漏洞检测

时间线

Timeline

06
3月24日 NVDB漏洞库收录漏洞4月1日 官方发布通告修复漏洞4月23日 长亭安全应急响应中心发布通告
参考资料：

[1].
https://www.apusic.com/view-477-120.html

长亭应急响应服务

全力进行产品升级

及时将风险提示预案发送给客户

检测业务是否受到此次漏洞影响

请联系长亭应急服务团队

7*24小时，守护您的安全

第一时间找到我们：

邮箱：[email protected]