【高危】Apache Seata < 2.3.0 raft反序列化漏洞
漏洞描述
Apache Seata(incubating) 是一款开源的分布式事务解决方案,用于在微服务架构下提供高性能和简单易用的分布式事务服务。
受影响版本中,Seata Server 的 Raft 模块的 CustomDeserializer 直接通过 Class.forName() 加载用户可控的类名,未做安全校验,攻击者可借此利用服务端已有的恶意链实现远程代码执行。
修复版本通过在 CustomDeserializer 中引入白名单机制,仅允许反序列化 org.apache.seata 包下的类,其他类拒绝加载,防止恶意类触发远程代码执行。
| MPS编号 | MPS-hvf9-m2o0 |
|---|---|
| CVE编号 | CVE-2025-32897 |
| 处置建议 | 建议修复 |
| 发现时间 | 2025-06-29 |
| 利用成本 | 高 |
| 利用可能性 | 低 |
| 是否有POC | 是 |
影响范围
| 影响组件 | 受影响的版本 | 最小修复版本 |
|---|---|---|
| org.apache.seata:seata-server | [2.0.0, 2.3.0) | 2.3.0 |
参考链接
https://github.com/apache/incubator-seata/commit/7eda23e948312ed52c3336de70a11f4d2ab06a48
https://www.mail-archive.com/announce@apache.org/msg10160.html
https://www.oscs1024.com/hd/MPS-hvf9-m2o0
排查方式
手动排查
检查Seata Server版本:查看部署版本是否在[2.0.0, 2.3.0)区间;版本确认方式:执行seata-server --version或查看pom.xml中seata-server依赖版本;处理建议:若版本受影响,立即升级至2.3.0及以上版本。
一键自动排查全公司此类风险(申请免费使用)
墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务,可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等,点击以下链接申请试用:
免费领取使用:https://www.murphysec.com/apply?code=JVWD
提交漏洞情报:https://www.murphysec.com/bounty
处置方式
应急缓解方案
- 限制Seata Server Raft模块相关端口的网络访问,仅允许受信任的内部服务进行通信
- 启用网络层访问控制策略,对Seata Server服务实施IP白名单限制
- 监控Seata Server日志中与类加载、反序列化相关的异常记录,及时发现可疑访问
根本修复方案
- 将Apache Seata Server升级至2.3.0或更高版本
- 通过官方Maven仓库获取安全版本:org.apache.seata:seata-server:2.3.0
- 升级前备份配置文件和数据,升级后验证业务功能正常性
- 确保升级过程中遵循官方发布的升级指南,特别是涉及分布式事务数据的迁移步骤
