万户ezEIP-success.aspx反序列化漏洞

万户ezEIP的success.aspx文件存在反序列化漏洞，攻击者可利用该漏洞在目标服务器上执行任意代码，获取系统控制权。

漏洞原理

该漏洞位于/success.aspx页面，其代码在处理特定参数时，使用了不安全的反序列化方法（如BinaryFormatter.Deserialize），且未对输入数据进行有效验证或过滤。攻击者可以构造恶意的序列化数据，通过HTTP请求提交给该页面，触发反序列化过程，从而执行恶意代码。

影响范围

• 受影响的版本：万户ezEIP的多个历史版本（具体版本需根据官方通报确认）。
• 风险等级：高危（可直接导致服务器被入侵）。

漏洞利用方式

1. 攻击路径：向/success.aspx页面发送POST请求，参数中包含精心构造的序列化payload。
2. 利用工具：可使用ysoserial.net等工具生成.NET反序列化漏洞的payload。
3. 攻击结果：成功利用后，攻击者可在服务器上执行命令、上传文件、窃取数据等。

修复建议

1. 升级到安全版本：联系万户官方获取最新补丁或升级至已修复的版本。
2. 输入验证与过滤：对反序列化操作的数据源进行严格校验，避免不可信数据输入。
3. 使用安全的序列化组件：替换不安全的BinaryFormatter，采用JSON等更安全的序列化方式。
4. 临时缓解措施：
   • 在WAF（Web应用防火墙）中添加规则，拦截对/success.aspx的恶意请求。
   • 若功能非必需，可暂时禁用或限制访问该页面。

安全自查建议

1. 检查系统中是否存在success.aspx文件，并确认其代码是否包含反序列化操作。
2. 对全网资产进行漏洞扫描，检测是否存在类似反序列化风险。
3. 建议定期更新组件，并遵循最小权限原则运行应用服务。

该漏洞具有较高的危害性，建议相关用户立即采取修复措施，并加强系统安全监控。