CVE-2021-25646是一个Jackson反序列化引起的远程命令执行漏洞

Vaadin是一个集成了JavaScript Web组件的Java UI框架，基于该框架，开发者可以使用Java语言开发出高质量的用户界面。本例将介绍ysoserial工程中关于Vaadin框架的一个反序列化漏洞，之所以在Click1利用链之后紧接着介绍Vaadin1利用链是因为它们最终都用到了Xalan的TemplatesImpl.getOutputProperties()方法来实现远程命令执行。

Apache Click是一个简单易上手的Java Web应用框架，它使用基于事件的编程模型来处理Servlet请求，使用Velocity(默认)、JSP、Freemarker渲染响应。本例演示了基于Apache Click项目的远程命令执行漏洞，Apache Click在2014年就已经进入Apache Attic。

C3P0是一个开源的JDBC连接池，它实现了数据源与JNDI绑定，支持JDBC3规范以及JDBC2的标准扩展。本例中演示了基于该工程下的PoolBackedDataSourceBase的反序列化漏洞，通过该漏洞可以实现远程代码执行。

BeanShell1是由Java语言编写的Java语言解释器，通过Java反射API实现实时解释执行Java语言，类似于Python和JavaScript。BeanShell1正是基于BeanShell组件实现的RCE漏洞，并且反序列过程中并不会有任何报错信息。

面向切面编程因为可以在不改变别人代码的情况下在别人代码执行之前或之后切入自己的逻辑而被广泛应用于大型项目开发，本文将简要介绍AOP中所涉及到的反序列化漏洞，该漏洞属于文件上传漏洞