# CVE-2020–4280 — IBM QRadar Java反序列化分析和绕过


周，国外安全研究员发布了一个IBM Qradar SIEM Java Deser漏洞。 CVE编号：CVE-2020–4280 (详情)

Qradar不仅有企业版，同时也具有社区版。

可以从这里下载：https://developer.ibm.com/qradar/ce/，目前只有Community Edition版本7.3.3，而Enterprise Edition当前正在使用7.4.1版本。登录后，将下载一个ova文件，以导入到VMWare/Virtual Box中。

安装过程可以参考：https://kifarunix.com/how-to-install-ibm-qradar-ce-v7-3-1-on-

作者使用的poc：


```xml
<exportedMethod exposeToJMX="false" readOnly="true" parameterNames="changedSettings" className="com.q1labs.assetprofilerconfiguration.ui.util.AssetProfilerConfig" methodCode="974337442" methodName="validateChangesAssetConfiguration" appName="qradar"/>
```

在作者的原始PoC中，有一个比较麻烦的句柄：
使用Jython1小工具启用console.enableExecuteCommand- >属性，然后调用Qradar.executeCommand（）。

另一种方法可以更简洁地处理，即使用定制版本的ROME小工具执行并响应正文，PoC结果如下：

![](media/16097307389390/16097307593039.jpg)


Bypass CVE-2020–4280：

![](media/16097307389390/16097307683129.jpg)


ref：

https://testbnull.medium.com/cve-2020-4280-ibm-qradar-java-deserialization-anlysis-and-bypass-c3fe57207057

https://www.securify.nl/advisory/java-deserialization-vulnerability-in-qradar-remotejavascript-servlet

https://forum.ywhack.com/thread-114654-1-5.html