一、背景介绍

近日监测到金蝶官方发布了安全通告，修复了一处IIOP反序列化远程代码执行漏洞。

1.1漏洞描述

金蝶Apusic应用服务器（Apusic Application Server，AAS）是一款企业级中间件，全面支持JakartaEE规范，提供Web、EJB、WebService容器，适配国产软硬件，用于支撑企业级应用运行。

该漏洞源于金蝶天燕应用服务器在处理IIOP协议请求时，存在Java反序列化漏洞。服务器暴露接口允许远程客户端通过IIOP协议进行交互，且服务器未对反序列化数据进行有效验证和过滤，攻击者可以构造恶意的序列化数据并发送到服务器，从而实现远程代码执行。

1.2漏洞等级

高危

二、修复建议

2.1受影响的版本

Apusic应用服务器软件V10.0企业版SP1-SP8

2.2修复建议

目前官方已发布补丁，如受影响请参考以下链接进行修复：https://www.apusic.com/view-477-120.html