文章总结： 该文档为奇安信CERT发布的OpenAM远程代码执行漏洞(CVE-2026-33439)安全通告。漏洞因反序列化入口点未完全应用白名单过滤，导致攻击者可通过恶意序列化数据实现未认证远程代码执行，影响OpenAM16.0.5及之前版本。处置建议包括升级至16.0.6版本，并提供了奇安信多款产品的检测规则升级方案。 综合评分： 88 文章分类： 漏洞分析,应急响应,威胁情报,漏洞预警,解决方案

【已复现】OpenAM 远程代码执行漏洞(CVE-2026-33439)安全风险通告

奇安信 CERT

2026年4月9日 17:15 北京

● 点击↑蓝字关注我们，获取更多安全风险通告

| | | | | | — | — | — | — | | 漏洞概述 | | | | | 漏洞名称 | OpenAM 远程代码执行漏洞 | | | | 漏洞编号 | QVD-2026-18805，CVE-2026-33439 | | | | 公开时间 | 2026-04-07 | 影响量级 | 万级 | | 奇安信评级 | 高危 | CVSS 3.1分数 | 9.8 | | 威胁类型 | 代码执行 | 利用可能性 | 高 | | POC状态 | 已公开 | 在野利用状态 | 未发现 | | EXP状态 | 已公开 | 技术细节状态 | 已公开 | | 危害描述：攻击者可利用该漏洞，通过向目标系统发送精心构造的恶意序列化数据，实现无需认证的远程代码执行。 | | | |

01

漏洞详情

>>>>

影响组件

OpenIdentityPlatform OpenAM是一款开源的企业级访问管理解决方案，提供统一的身份认证、授权管理、单点登录（SSO）以及联合身份管理功能。

>>>>

漏洞描述

近日，奇安信CERT监测到官方修复OpenAM 远程代码执行漏洞(CVE-2026-33439)，该漏洞产生的原因是OpenAM在修复历史漏洞时，仅对部分参数应用了白名单过滤机制，而忽略了框架中其他反序列化入口点。OpenAM 16.0.5及之前版本中的相关组件在处理特定HTTP参数时，直接进行反序列化操作，未实施有效的类白名单限制，导致用户可控的序列化数据被直接反序列化。目前该漏洞POC及技术细节已公开，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

02

影响范围

>>>>

影响版本

OpenAM <= 16.0.5

>>>>

其他受影响组件

无

03

复现情况

目前，奇安信威胁情报中心安全研究员已成功复现OpenAM 远程代码执行漏洞(CVE-2026-33439)，截图如下：

04

处置建议

>>>>

安全更新

目前官方已有可更新版本，建议受影响用户升级至最新版本：

OpenAM >= 16.0.6

下载地址：

https://github.com/OpenIdentityPlatform/OpenAM/releases

>>>>

产品解决方案

奇安信网神网络数据传感器系统产品检测方案****

奇安信网神网络数据传感器（NDS5000/7000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：8230，建议用户尽快升级检测规则库至2604091530以上；

奇安信天眼检测方案

奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击，请将规则版本升级到3.0.0409.14981或以上版本。规则ID及规则名称：

0x10022742，OpenAM 远程代码执行漏洞(CVE-2026-33439)。奇安信天眼流量探针规则升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

奇安信开源卫士已支持

奇安信开源卫士20260409.1325版本已支持对 OpenAM 远程代码执行漏洞(CVE-2026-33439)的检测。

05

参考资料

[1]https://github.com/OpenIdentityPlatform/OpenAM/security/advisories/GHSA-2cqq-rpvq-g5qj

06

时间线

2026年04月09日，奇安信 CERT发布安全风险通告。

07

漏洞情报服务

奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务：

奇安信 CERT

致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。

点击↓阅读原文，到ALPHA威胁分析平台订阅更多漏洞信息。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信 CERT 《【已复现】OpenAM 远程代码执行漏洞(CVE-2026-33439)安全风险通告》