@zhuma4/cli 4.0.0-alpha.1 → 4.3.0

package/rules/unified/cwe-476/zm-cpp-cwe476-null-dereference.yaml

@@ -0,0 +1,89 @@
+# Source: common | Cluster: N/A
+# CWE-476: C/C++ NULL 指针解引用检测规则
+# 逐码 ZhuMa V4.3 — C/C++ 规则库
+#
+# 检测潜在的 NULL 指针解引用模式，包括未检查返回值的分配函数
+# 以及可返回 NULL 的 API 调用后直接使用。
+
+rules:
+
+# ZM-CPP-CWE476-001: malloc 返回值未检查
+- id: zm-cpp-cwe476-null-dereference-001
+  severity: WARNING
+  message: |
+    检测到 malloc()/calloc()/realloc() 的返回值在解引用前未检查是否为 NULL。
+    malloc 在内存不足时返回 NULL，直接使用将导致空指针解引用崩溃。
+    在某些嵌入式系统或内核模块中，NULL 页可能被映射，导致更严重的安全问题。
+
+    修复方案：
+    - 分配后立即检查返回值: if (ptr == NULL) { /* 错误处理 */ }
+    - C++: 使用 new (nothrow) 并检查
+    - C++: 使用 std::vector / std::make_unique 避免手动内存管理
+  languages:
+    - c
+    - cpp
+  patterns:
+    - pattern: |
+        $PTR = malloc($SIZE);
+        ...
+        $PTR[...];
+  metadata:
+    cwe: "CWE-476: NULL Pointer Dereference"
+    owasp: "A06:2021 - Vulnerable and Outdated Components"
+    category: security
+    precision: medium
+    references:
+      - "https://cwe.mitre.org/data/definitions/476.html"
+      - "https://wiki.sei.cmu.edu/confluence/display/c/MEM32-C.+Detect+and+handle+memory+allocation+errors"
+
+# ZM-CPP-CWE476-002: 可能返回NULL的函数返回值直接使用
+- id: zm-cpp-cwe476-null-dereference-002
+  severity: WARNING
+  message: |
+    检测到可能返回 NULL 的函数返回值被直接解引用，未检查 NULL。
+    realloc/fopen/getenv/strchr/find 等函数在特定条件下返回 NULL，
+    未检查直接使用将导致空指针解引用崩溃。
+
+    修复方案：
+    - 调用后检查返回值是否为 NULL
+    - realloc 使用临时指针接收返回值，避免原始指针泄露
+    - C++: 使用异常或 std::optional 表达可能失败的操作
+  languages:
+    - c
+    - cpp
+  pattern-either:
+    - pattern: $PTR = realloc($OLDPTR, $SIZE);
+    - pattern: $PTR = fopen($PATH, $MODE);
+    - pattern: $PTR = getenv($NAME);
+  metadata:
+    cwe: "CWE-476: NULL Pointer Dereference"
+    owasp: "A06:2021 - Vulnerable and Outdated Components"
+    category: security
+    precision: medium
+    references:
+      - "https://cwe.mitre.org/data/definitions/476.html"
+
+# ZM-CPP-CWE476-003: C++ new (nothrow) 返回值检查
+- id: zm-cpp-cwe476-null-dereference-003
+  severity: WARNING
+  message: |
+    检测到 C++ new(std::nothrow) 分配内存的返回值未检查是否为 nullptr。
+    nothrow new 在分配失败时返回 nullptr 而不是抛出 std::bad_alloc 异常，
+    直接解引用将导致空指针解引用。
+
+    修复方案：
+    - 检查返回值: if (ptr == nullptr) { /* 处理错误 */ }
+    - 使用普通 new 利用异常处理机制
+    - 使用智能指针: std::make_unique<T>(args)
+  languages:
+    - cpp
+  pattern-either:
+    - pattern: $PTR = new (std::nothrow) $TYPE;
+    - pattern: $PTR = new (nothrow) $TYPE;
+  metadata:
+    cwe: "CWE-476: NULL Pointer Dereference"
+    owasp: "A06:2021 - Vulnerable and Outdated Components"
+    category: security
+    precision: medium
+    references:
+      - "https://cwe.mitre.org/data/definitions/476.html"

package/rules/unified/cwe-501/zm-java-cwe501-trust-boundary.yaml

@@ -0,0 +1,125 @@
+# Source: common | Cluster: N/A
+# CWE-501: Java 信任边界违反检测
+# 逐码 ZhuMa V4.1 Sprint — Java 规则库
+# 覆盖: getSession跨请求未验证、ThreadLocal存储用户数据
+
+rules:
+
+# ZM-JAVA-TB-001: HttpSession 跨请求信任未验证
+- id: zm-java-tb-001
+  severity: WARNING
+  message: |
+    检测到从 HttpSession 中直接获取属性并用于后续操作，未验证属性值的有效性和完整性。
+    Session 数据虽存储在服务端，但若由客户端间接控制(如通过可控的 session ID 或反序列化)，
+    攻击者可注入恶意数据。
+
+    违反信任边界的场景:
+    1. session.getAttribute("role") == "admin" → 信任客户端可控的session属性
+    2. session.getAttribute("userId") → 直接用于数据库查询(未从认证上下文重新获取)
+    3. 跨集群节点的session共享未做完整性校验
+
+    修复:
+    1. 使用认证令牌(JWT/Token)而非session属性存储权限决策
+    2. 每次关键操作前重新验证用户权限(查DB)
+    3. 对session中的敏感数据进行签名/HMAC校验
+    4. 使用 Spring Security SecurityContext 管理认证信息
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        $SESSION.getAttribute("role")
+    - pattern: |
+        $SESSION.getAttribute("$KEY").equals("admin")
+    - pattern: |
+        $SESSION.getAttribute("$KEY").equals($ADMIN)
+  metadata:
+    cwe: "CWE-501: Trust Boundary Violation"
+    severity: WARNING
+    precision: medium
+    category: trust-boundary
+    likelihood: MEDIUM
+    impact: HIGH
+    owasp: "A04:2021 - Insecure Design"
+    references:
+      - "https://cwe.mitre.org/data/definitions/501.html"
+
+# ZM-JAVA-TB-002: ThreadLocal 存储用户身份(跨线程污染风险)
+- id: zm-java-tb-002
+  severity: WARNING
+  message: |
+    检测到 ThreadLocal 用于存储用户身份/会话数据。
+    ThreadLocal 的常见风险:
+    1. 线程池环境下未清理 → 后续请求继承前一个用户的ThreadLocal数据
+    2. 异步/响应式编程中线程切换 → 数据丢失或不正确
+    3. 内存泄漏 → ThreadLocal未在finally中remove()
+
+    修复:
+    1. 使用 Spring SecurityContextHolder (自动清理)
+    2. 在 finally 块中调用 threadLocal.remove()
+    3. 使用 Filter/Interceptor 在请求结束时统一清理
+    4. 考虑使用 RequestScope Bean 替代 ThreadLocal
+    5. 使用 TransmittableThreadLocal (支持线程池传递)
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        $USER_HOLDER.set($SESSION.getAttribute($KEY))
+    - pattern: |
+        $TL.set($REQ.getSession().getAttribute($KEY))
+    - pattern: |
+        $CTX.set($USER)
+    - pattern: |
+        ThreadLocal<$TYPE> $NAME = new ThreadLocal<>();
+    - pattern: |
+        new ThreadLocal<$TYPE>()
+    - pattern: |
+        new InheritableThreadLocal()
+  metadata:
+    cwe: "CWE-501: Trust Boundary Violation"
+    severity: WARNING
+    precision: low
+    category: trust-boundary
+    likelihood: MEDIUM
+    impact: MEDIUM
+    owasp: "A04:2021 - Insecure Design"
+    references:
+      - "https://cwe.mitre.org/data/definitions/501.html"
+
+# ZM-JAVA-TB-003: 客户端数据直接用于安全决策(trust boundary crossing)
+- id: zm-java-tb-003
+  severity: HIGH
+  message: |
+    检测到 request.getParameter / request.getHeader 的值直接用于角色/权限判断。
+    客户端数据(请求参数/Header/Cookie)跨越信任边界进入服务端代码，
+    不应直接用于安全决策。
+
+    危险示例:
+    if ("admin".equals(request.getParameter("role"))) { ... }
+    if (request.getHeader("X-Auth-Role").equals("admin")) { ... }
+
+    修复:
+    1. 从服务端 Session/SecurityContext 获取用户角色
+    2. 从数据库重新加载用户权限信息
+    3. 使用 JWT token(签名验证后)提取角色信息
+    4. 禁止从请求参数/Header中读取角色/权限信息
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        $REQ.getParameter("role")
+    - pattern: |
+        $REQ.getParameter("$ROLE")
+    - pattern: |
+        $REQ.getHeader("$ROLE")
+    - pattern: |
+        $REQ.getHeader("$AUTH")
+  metadata:
+    cwe: "CWE-501: Trust Boundary Violation"
+    severity: HIGH
+    precision: medium
+    category: trust-boundary
+    likelihood: HIGH
+    impact: HIGH
+    owasp: "A04:2021 - Insecure Design"
+    references:
+      - "https://cwe.mitre.org/data/definitions/501.html"

package/rules/unified/cwe-502/cwe-502-insecure-deserialization.yaml

@@ -0,0 +1,45 @@
+# Source: common | Cluster: N/A
+# CWE-502: 不安全反序列化检测规则
+# 逐码 ZhuMa V4.0 Alpha — 通用规则库
+
+rules:
+
+# ZM-JAVA-DS-001: ObjectInputStream.readObject 无过滤
+- id: zm-java-ds-001
+  severity: CRITICAL
+  message: |
+    检测到 ObjectInputStream.readObject() 调用，未配置类型白名单过滤。
+    攻击者可通过构造恶意序列化对象执行任意代码。
+    应使用 ValidatingObjectInputStream (Apache Commons IO) 限制可反序列化类型，
+    或使用 JSON/Protobuf 等替代序列化方案。
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        new ObjectInputStream($INPUT).readObject();
+    - pattern: |
+        $OIS = new ObjectInputStream($INPUT);
+        ...
+        $OIS.readObject();
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    owasp: "A08:2021 - Software and Data Integrity Failures"
+    precision: high
+
+# ZM-JAVA-DS-002: ObjectInputStream 未使用过滤包装
+- id: zm-java-ds-002
+  severity: MEDIUM
+  message: |
+    ObjectInputStream 直接使用，未通过 ValidatingObjectInputStream 或 resolveClass 过滤。
+    建议添加类型白名单验证。
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        $OIS = new ObjectInputStream(...);
+    - pattern: |
+        new ObjectInputStream(...);
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    owasp: "A08:2021 - Software and Data Integrity Failures"
+    precision: low

package/rules/unified/cwe-502/zm-cs-cwe502-deserialization.yaml

@@ -0,0 +1,92 @@
+# Source: common | Cluster: N/A
+# CWE-502: C# 不安全反序列化检测规则
+# 逐码 ZhuMa V4.3 — C# 规则库
+#
+# 检测 .NET 中危险的反序列化器使用，包括 BinaryFormatter、
+# NetDataContractSerializer、LosFormatter 等已知不安全类型。
+
+rules:
+
+# ZM-CS-CWE502-001: BinaryFormatter 反序列化
+- id: zm-cs-cwe502-deserialization-001
+  severity: ERROR
+  message: |
+    检测到 BinaryFormatter 使用。BinaryFormatter 在反序列化时
+    无条件信任输入流中的类型信息，攻击者可构造恶意序列化 payload
+    通过小工具链（Gadget Chain）实现远程代码执行 (RCE)。
+
+    修复方案：
+    - 完全移除 BinaryFormatter，使用 System.Text.Json 或 Newtonsoft.Json
+    - 如无法移除，使用 SerializationBinder 限制允许反序列化的类型
+    - .NET 8+ BinaryFormatter 已被标记为过时 (Obsolete)
+    - 迁移至 DataContractSerializer / XMLSerializer 并通过 SerializationBinder 过滤
+  languages:
+    - csharp
+  pattern-either:
+    - pattern: new BinaryFormatter()
+    - pattern: $BF.Deserialize($STREAM)
+    - pattern: $BF.UnsafeDeserialize($STREAM, ...)
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    owasp: "A08:2021 - Software and Data Integrity Failures"
+    category: security
+    precision: high
+    references:
+      - "https://cwe.mitre.org/data/definitions/502.html"
+      - "https://learn.microsoft.com/en-us/dotnet/standard/serialization/binaryformatter-security-guide"
+
+# ZM-CS-CWE502-002: NetDataContractSerializer
+- id: zm-cs-cwe502-deserialization-002
+  severity: ERROR
+  message: |
+    检测到 NetDataContractSerializer 使用。与 BinaryFormatter 类似，
+    NetDataContractSerializer 在反序列化时验证不足，攻击者可构造
+    恶意 CLR 类型实现远程代码执行。
+
+    修复方案：
+    - 迁移至 DataContractSerializer + KnownTypes 白名单
+    - 使用 System.Text.Json 或 XmlSerializer（明确类型）
+    - 使用 SerializationBinder 限制允许的类型范围
+    - .NET Framework 中通过 AppDomain.CreateDomain 隔离反序列化
+  languages:
+    - csharp
+  pattern-either:
+    - pattern: new NetDataContractSerializer()
+    - pattern: $NDCS.Deserialize($STREAM)
+    - pattern: $NDCS.ReadObject($STREAM)
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    owasp: "A08:2021 - Software and Data Integrity Failures"
+    category: security
+    precision: high
+    references:
+      - "https://cwe.mitre.org/data/definitions/502.html"
+      - "https://learn.microsoft.com/en-us/dotnet/framework/wcf/feature-details/serialization-in-wcf"
+
+# ZM-CS-CWE502-003: LosFormatter/ObjectStateFormatter
+- id: zm-cs-cwe502-deserialization-003
+  severity: ERROR
+  message: |
+    检测到 LosFormatter 或 ObjectStateFormatter 使用。
+    这些 ASP.NET 内部序列化器同样易受不安全的类型解析攻击。
+    LosFormatter 用于 ViewState 序列化，在已知密钥或禁用 MAC 时尤其危险。
+
+    修复方案：
+    - 迁移 ViewState 序列化为 JSON 格式
+    - 确保 ViewState 启用 MAC 验证和加密
+    - 设置 ViewStateUserKey 防止 CSRF 跨用户 ViewState 重用
+  languages:
+    - csharp
+  pattern-either:
+    - pattern: new LosFormatter()
+    - pattern: new ObjectStateFormatter()
+    - pattern: $LF.Deserialize($STREAM)
+    - pattern: $OSF.Deserialize($STREAM)
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    owasp: "A08:2021 - Software and Data Integrity Failures"
+    category: security
+    precision: high
+    references:
+      - "https://cwe.mitre.org/data/definitions/502.html"
+      - "https://learn.microsoft.com/en-us/dotnet/standard/serialization/binaryformatter-security-guide"

package/rules/unified/cwe-502/zm-go-cwe502-deserialization.yaml

@@ -0,0 +1,121 @@
+# Source: common | Cluster: N/A
+# CWE-502: Go 不安全反序列化检测
+# 逐码 ZhuMa V4.1 — Go 通用规则库
+# 检测: gob.NewDecoder.Decode / json.Unmarshal到interface{} / xml.Decoder
+
+rules:
+
+# ZM-GO-DESER-001: gob 反序列化外部输入
+- id: zm-go-deser-001
+  severity: CRITICAL
+  message: |
+    检测到 encoding/gob 的 NewDecoder().Decode() 反序列化操作。
+    gob 是Go特有的二进制序列化格式，反序列化用户可控的 gob 数据
+    可能触发 panic 导致DoS，或在复杂类型场景下产生意外行为。
+
+    修复方案:
+    1. 仅反序列化可信来源的 gob 数据
+    2. 对不可信数据使用 JSON/Protobuf 等格式替代 gob
+    3. 使用 gob.Register() 注册允许的反序列化类型白名单
+    4. 对输入数据做完整性校验（HMAC签名）
+  languages:
+    - go
+  pattern-either:
+    - pattern: gob.NewDecoder($R).Decode($V)
+    - pattern: gob.NewDecoder($R).DecodeValue($V)
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    severity: CRITICAL
+    precision: high
+    category: deserialization
+    likelihood: MEDIUM
+    impact: HIGH
+    owasp: "A08:2021 - Software and Data Integrity Failures"
+    references:
+      - "https://pkg.go.dev/encoding/gob"
+      - "https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet.html"
+
+# ZM-GO-DESER-002: json.Unmarshal 到 interface{}
+- id: zm-go-deser-002
+  severity: WARNING
+  message: |
+    检测到 json.Unmarshal / json.Decoder.Decode 将数据反序列化到
+    interface{} 类型或 map[string]interface{} 动态类型。
+    无类型约束的反序列化可能导致类型混淆、DoS（嵌套炸弹），
+    且无法利用编译器类型检查保证数据安全。
+
+    修复方案:
+    1. 定义具体的结构体类型接收JSON数据: json.Unmarshal(data, &myStruct)
+    2. 使用 json.Decoder 配合 DisallowUnknownFields() 拒绝未知字段
+    3. 若必须使用动态类型，使用 json.RawMessage 延迟解析
+    4. 对输入大小做限制（http.MaxBytesReader / io.LimitReader）
+  languages:
+    - go
+  pattern-either:
+    - pattern: json.Unmarshal($DATA, $V)
+    - pattern: $DEC.Decode($V)
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    severity: WARNING
+    precision: low
+    category: deserialization
+    likelihood: MEDIUM
+    impact: MEDIUM
+    owasp: "A08:2021 - Software and Data Integrity Failures"
+    references:
+      - "https://pkg.go.dev/encoding/json"
+
+# ZM-GO-DESER-003: xml.Decoder 外部实体未禁用
+- id: zm-go-deser-003
+  severity: HIGH
+  message: |
+    检测到 encoding/xml 的 Decoder 反序列化XML数据。
+    Go的 xml.Decoder 默认禁用外部实体，但若显式设置
+    Decoder.Entity 字段，可能引入 XXE 攻击风险。
+
+    修复方案:
+    1. 使用默认的 xml.NewDecoder() 不做额外配置（Go 1.17+ 默认安全）
+    2. 若必须设置 Entity，确保映射仅包含安全值
+    3. 考虑使用更安全的XML解析库或切换到JSON
+  languages:
+    - go
+  pattern-either:
+    - pattern: xml.NewDecoder($R).Decode($V)
+    - pattern: xml.Unmarshal($DATA, $V)
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    severity: HIGH
+    precision: medium
+    category: deserialization
+    likelihood: LOW
+    impact: HIGH
+    owasp: "A08:2021 - Software and Data Integrity Failures"
+    references:
+      - "https://pkg.go.dev/encoding/xml"
+
+# ZM-GO-DESER-004: binary.Read 二进制反序列化
+- id: zm-go-deser-004
+  severity: WARNING
+  message: |
+    检测到 encoding/binary 的 Read() 从不可信输入读取二进制数据。
+    若输入攻击者可控，可能构造恶意二进制数据导致越界读取或内存损坏。
+
+    修复方案:
+    1. 仅从可信来源读取二进制数据
+    2. 使用 io.LimitReader 限制读取大小
+    3. 对二进制数据做完整性校验（CRC/MD5签名）
+    4. 考虑使用 Protobuf 等有类型信息的序列化格式
+  languages:
+    - go
+  pattern-either:
+    - pattern: binary.Read($R, binary.BigEndian, $V)
+    - pattern: binary.Read($R, binary.LittleEndian, $V)
+    - pattern: binary.Read($R, $ORDER, $V)
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    severity: WARNING
+    precision: low
+    category: deserialization
+    likelihood: MEDIUM
+    impact: MEDIUM
+    owasp: "A08:2021 - Software and Data Integrity Failures"

package/rules/unified/cwe-502/zm-java-cwe502-deserial-depth.yaml

@@ -0,0 +1,129 @@
+# Source: common | Cluster: N/A
+# CWE-502 反序列化深度覆盖 (v2): 常见不安全反序列化库
+# 原 cwe-502-insecure-deserialization.yaml — 仅Java原生ObjectInputStream
+# 补: Kryo/Hessian/JNDI 反序列化入口
+
+rules:
+
+# ZM-JAVA-KRYO-001: Kryo 反序列化未设置 ClassResolver
+- id: zm-java-kryo-001
+  severity: CRITICAL
+  message: |
+    Kryo 反序列化未限制可反序列化的类——攻击者可通过 gadget chain 执行任意代码。
+    使用 `Kryo.setClassLoader()` 或 `Kryo.setReferences(false)` 限制危险类加载。
+    推荐迁移到 Protobuf/JSON 等非原生反序列化方案。
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        $KRYO = new Kryo();
+        ...
+        $KRYO.readObject($INPUT, $CLS);
+    - pattern: |
+        $KRYO.readObject($INPUT, $CLS)
+    - pattern: |
+        new Kryo()
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    owasp: "A08:2021 - Software and Data Integrity Failures"
+    precision: high
+    tags: [deserialization, kryo, rce]
+    references:
+      - https://github.com/EsotericSoftware/kryo
+
+# ZM-JAVA-HESSIAN-001: Hessian 反序列化入口检测
+- id: zm-java-hessian-001
+  severity: CRITICAL
+  message: |
+    HessianInput / Hessian2Input 直接反序列化外部输入——Hessian 已知多种 gadget chain。
+    使用 Hessian 前校验输入来源可信，或迁移到 gRPC/Spring Remoting with basic auth。
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        $HIN = new HessianInput($STREAM);
+        ...
+        $HIN.readObject();
+    - pattern: |
+        $HIN = new Hessian2Input($STREAM);
+        ...
+        $HIN.readObject();
+    - pattern: |
+        $HIN.readObject()
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    owasp: "A08:2021 - Software and Data Integrity Failures"
+    precision: high
+    tags: [deserialization, hessian, rce]
+    references:
+      - https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet.html
+
+# ZM-JAVA-JNDI-LOOKUP-001: JNDI lookup 使用用户可控字符串
+- id: zm-java-jndi-lookup-001
+  severity: CRITICAL
+  message: |
+    JNDI lookup(initial) 使用用户可控 URI — 可触发 JNDI 注入攻击。
+    这是 Log4Shell (CVE-2021-44228) 的关键 sink。升级 JDK (>= 8u191) 并禁用远程类加载。
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        $CTX = new InitialContext();
+        ...
+        $CTX.lookup($INPUT);
+    - pattern: |
+        InitialContext.doLookup($INPUT)
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    owasp: "A08:2021 - Software and Data Integrity Failures"
+    precision: very-high
+    tags: [deserialization, jndi, log4shell, rce]
+    references:
+      - https://www.cvedetails.com/cve/CVE-2021-44228/
+
+# ZM-JAVA-JACKSON-UNSAFE-001: Jackson ObjectMapper 启用 defaultTyping
+- id: zm-java-jackson-unsafe-001
+  severity: CRITICAL
+  message: |
+    ObjectMapper 启用 defaultTyping / enableDefaultTyping — 存在多态反序列化 RCE 风险。
+    此配置允许攻击者通过 @class 字段指定任意类反序列化。
+    关闭 defaultTyping 并使用 @JsonTypeInfo 显式注册允许的子类型。
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        $MAPPER.enableDefaultTyping()
+    - pattern: |
+        $MAPPER.enableDefaultTyping($X)
+    - pattern: |
+        ObjectMapper().enableDefaultTyping()
+    - pattern: |
+        new ObjectMapper().enableDefaultTyping()
+    - pattern: |
+        $MAPPER.activateDefaultTyping($PF)
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    owasp: "A08:2021 - Software and Data Integrity Failures"
+    precision: very-high
+    tags: [deserialization, jackson, rce]
+    references:
+      - https://cowtowncoder.medium.com/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062
+
+# ZM-JAVA-JAVA-SERIAL-001: ObjectInputStream + readObject (增强, 补充原有cwe502规则)
+- id: zm-java-serial-001
+  severity: CRITICAL
+  message: |
+    ObjectInputStream.readObject() 直接反序列化可能存在不安全输入。
+    使用 ValidatingObjectInputStream (Apache Commons IO) 限制允许反序列化的类白名单。
+  languages:
+    - java
+  pattern-either:
+    - pattern: new ObjectInputStream($INPUT)
+    - pattern: $OIS = new ObjectInputStream($INPUT)
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    owasp: "A08:2021 - Software and Data Integrity Failures"
+    precision: high
+    tags: [deserialization, objectinputstream, rce]
+    references:
+      - https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet.html

package/rules/unified/cwe-502/zm-java-cwe502-dubbo-deserial.yaml

@@ -0,0 +1,59 @@
+# Source: common | Cluster: N/A
+# CWE-502: Apache Dubbo 反序列化检测
+# 逐码 ZhuMa V4.3 — 反序列化深度覆盖
+
+rules:
+
+# ZM-JAVA-CWE502-DUBBO-001: Dubbo 反序列化 Hessian2 无安全配置
+- id: zm-java-cwe502-dubbo-001
+  severity: CRITICAL
+  message: |
+    Apache Dubbo 默认使用 Hessian2 序列化协议，Hessian2 已知反序列化 RCE 漏洞。
+    攻击者可通过构造恶意 Dubbo 请求触发服务端反序列化导致代码执行。
+    修复: 1. Dubbo 2.7.13+ / 3.0.7+ 启用 SerializeSecurityManager
+    2. 使用 dubbo.application.serialize-check-status=STRICT
+    3. 配置 dubbo.security.serialize.allowlist 类白名单
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        @Service
+        public class $IMPL implements $API { ... }
+    - pattern: |
+        @DubboService
+        public class $IMPL implements $API { ... }
+    - pattern: |
+        $CFG.setProtocol("dubbo");
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    severity: CRITICAL
+    precision: very-low
+    category: deserialization
+    owasp: "A08:2021 - Software and Data Integrity Failures"
+    likelihood: MEDIUM
+    impact: CRITICAL
+    tags: [deserialization, dubbo, hessian, rce]
+    references:
+      - "https://dubbo.apache.org/zh-cn/overview/mannual/java-sdk/tasks/security/serialize.html"
+
+# ZM-JAVA-CWE502-DUBBO-002: Dubbo GenericService 泛化调用无序列化白名单
+- id: zm-java-cwe502-dubbo-002
+  severity: CRITICAL
+  message: |
+    Apache Dubbo GenericService 泛化调用接受未经类型校验的序列化数据，
+    容易利用反序列化漏洞实现 RCE。
+    修复: 启用 Dubbo SerializeSecurityManager，配置 dubbo.application.serialize-check-status=WARN/STRICT。
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        $SERVICE.$INVOKE($METHOD, $TYPES, $ARGS)
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    severity: CRITICAL
+    precision: very-low
+    category: deserialization
+    owasp: "A08:2021 - Software and Data Integrity Failures"
+    likelihood: MEDIUM
+    impact: CRITICAL
+    tags: [deserialization, dubbo, rce]