Fastjson官方再次披露严重漏洞,包括rocketmq、jeecg-boot等近15%的github开源项目受影响

已于 2022-05-24 15:32:43 修改
阅读量2.4k 收藏 1
点赞数 1
文章标签: 安全 java web安全 开发语言
于 2022-05-24 09:49:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/124940936
版权
2022年5月,fastjson 1.2.80及以下版本曝出严重反序列化漏洞,可能导致远程代码执行。影响包括rocketmq、jeecg-boot等众多GitHub项目。OSCS开源软件社区建议升级至1.2.83,启用safeMode或使用V2版本,并提供检测工具协助修复。
摘要由CSDN通过智能技术生成

2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认autoType关闭限制,可能会导致远程服务器被攻击,风险影响较大。OSCS开源软件社区对此漏洞进行收录,漏洞信息如下:

漏洞评级:严重

影响组件:com.alibaba:fastjson

影响版本:<= 1.2.80

更多漏洞详细信息可进入OSCS社区查看:https://www.oscs1024.com/hd/MPS-2022-11320

同时,OSCS社区对Github上7000+个java项目进行了整体扫描,发现本次漏洞至少影响1031个项目,其中star大于500的项目达到290个。

受到此次漏洞影响的热门项目如下:

/apache/rocketmq /jeecgboot/jeecg-boot
/alibaba/Sentinel /xkcoding/spring-boot-demo
/Tencent/APIJSON /alibaba/DataX
/zhaojun1998/zfile /alibaba/jetcache
/alibaba/yugong /alibaba/GraphScope

漏洞检测分析工具: http://github.com/murphysecurity/murphysec

最低0.47元/天 解锁文章
开源生态安全OSCS
关注
FastJson远程命令执行漏洞学习笔记
m0_73257876的博客
09-04 736
fastjson漏洞其实就是fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类中连接远程主机,通过其中的恶意类执行代码。笔记只做学习记录分享。如有错误,请大家批评指正!
Fastjson官方再次披露高危漏洞包括rocketmqjeecg-boot15%的github开源项目影响
murphysec的博客
05-23 3013
2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,可能会导致远程服务器被攻击,风险影响较大。建议使用了 fastjson 的用户尽快采取安全措施保障系统安全FastjsonJava语言实现的快速JSON解析和生成器。 fastjson 使用黑白名单用于防御反序列化漏洞1.2.80及以下版本在特定条件下可绕过默认autoType关闭限制,攻击远程服务器。 攻击者可利用该漏洞远程执行恶意代码。 漏洞评级:严重
你看,Fastjson 漏洞也太多了吧。。
Java技术栈,分享最主流的Java技术
11-04 227
点击关注公众号,Java干货及时送达作者:4ra1n来源:https://www.anquanke.com/post/id/248892Fastjson已被大家分析过很多次,本文主要是对...
漏洞复现】JeecgBoot 权限绕过致AviatorScript表达式注入漏洞
最新发布
qq_48368964的博客
10-09 1136
JeecgBoot 存在权限绕过漏洞,未经身份验证的远程攻击者可构造jmLink、sharetoken参数或JmReport-Share-Token请求头绕过权限认证访问后台接口,进一步深入利用可实现远程代码执行、木马植入,导致服务器失陷等问题。Jeecg Boot(或者称为 Jeecga-Boot)是一款基于代码生成器的开源企业级快速开发平台,专注于开发后台管理系统9、企业信息管理系统(MIS)等应用。它提供了一系列工具和模板,帮助开发者快速构建和部署现代化的 Web 应用程序。
Fastjson漏洞
qq_50854662的博客
10-09 5861
Fastjson漏洞
一起来看看Fastjson的三种漏洞利用链
程序猿DD
08-24 1892
作者 |4ra1n来源 |https://www.anquanke.com/post/id/248892Fastjson已被大家分析过很多次,本文主要是对三种利用链做分析和对比Jdbc...
漏洞复现】5. Fastjson 1.2.24反序列化漏洞(CVE-2017-18349)复现
Zichel77的博客
03-21 1672
FastJson 库是 Java 的一个 Json 库,其作用是将 Java 对象转换成 json 数据来表示,也可以将 json 数据转换成 Java 对象,使用非常方便,号称是执行速度最快的库。在 1.2.24 版本的 Fastjson 出现了一个反序列化的漏洞fastjson 在解析 json 的过程中,支持使用 autoType 来实例化某一个具体的类,并调用该类的 set/get 方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
jeecg-boot的shiro认证过程
csdnlaiyanqi的博客
06-05 3245
shrio配置 说明: 首先配置一系列拦截的路径 配置jwtfilter 继承AuthenticatingFilter 作后面的接口登录验证 自定义realm 实例化常规bean package com.hnlrkj.talentgift.config.shiro; import com.hnlrkj.talentgift.config.shiro.filters.CustomShiroFilterFactoryBean; import com.hnlrkj.talentgift.c..
Jeecg-Boot 快速开发平台2.2.0(前后端分离版本)20200506发布版本(一)
u013131716的博客
05-06 5800
项目介绍: Java RAD framework for enterprise web applications JeecgBoot 是一款基于代码生成器的J2EE快速开发平台!采用前后端分离架构:SpringBoot2.x,Ant Design&Vue,Mybatis-plus,Shiro,JWT。强大的代码生成器让前后端代码一键生成,无需写任何代码! JeecgBoot引领新的开发模式...
JeecgBoot 技术架构
m0_55464994的博客
02-21 6209
技术架构: 开发环境 语言Java 8 IDE(JAVA):IDEA / Eclipse安装lombok插件 IDE(前端):WebStorm 或者 IDEA 依赖管理:Maven 数据库:MySQL5.7+ & Oracle 11g & Sqlserver2017 缓存:Redis 后端 基础框架:Spring Boot 2.3.5.RELEASE 微服务框架:Spring Cloud Alibaba 2.2.3.RE
FASTJSON反序列化漏洞合集分析小记(一)
lmh666888的博客
06-26 1957
FASTJSON反序列化漏洞合集分析小记
fastJSON文档
08-07
fastjson类库相关文档(fastjson文档)
fastjson远程代码执行漏洞
网安君的博客
03-29 5748
Fastjson 1.2.24 远程代码执行漏洞 漏洞说明 FastJson库是Java的一个Json库,其作用是将Java对象转换成json数据来表示,也可以将json数据转换成Java对象。在2017年3月15日,fastjson官方主动爆出fastjson1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 前提条件 开启autotype 影响范围 fastjson 1.2.22-1.2.24 jdk 1.7,1.8版本 漏洞复现 由于Fastj
fastjson官方文档_弃坑Fastjson ,进军Jackson
weixin_39607423的博客
11-30 6157
点击上方「Java有货」关注我们导 语Fastjson 是阿里开源的Json类库,功能很强大,使用也很简单,不得不说温少还是很厉害的,但是fastjson却经常会暴露出高危的漏洞,每次都是紧急发版,导致项目上经常会去更新,这一点让使用者有点痛苦!json的类库还是很多的,比如:Gosn,JSON-B,Jackson,这三种json类库也是Springboot官方推荐:如下图但是...
Fastjson远程代码执行漏洞(CNVD-2019-22238) 漏洞复现
Boom!脑洞大爆炸的博客
07-07 981
Fastjson远程代码执行漏洞(CNVD-2019-22238) 漏洞复现
在CentOS7上安装RocketMQ 4.7.1解决fastjson低版本漏洞问题
锐意工作室
08-25 2921
文章目录在CentOS7上安装RocketMQ 4.7.1前言安装过程下载和解压RocketMQ调低RocketMQ的JVM大小bin/runserver.shbin/runserver.shbin/tools.sh启动Name Server启动Broker查看RocketMQ进程测试发送消息和接收消息关闭Broker关闭Name Server修改Name Server的端口安装RocketMQ控制台Troubleshooting参考文档 在CentOS7上安装RocketMQ 4.7.1 前言 阿里的fa
fastjson反序列化漏洞原理及<=1.2.24&<=1.2.47&Fastjson v1.2.80简单利用&不出网判断&修复方法
m0_70535581的博客
07-27 1765
fastjson 是一个 有阿里开发的一个开源Java 类库,可以将 Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。
fastjson
weixin_43245707的博客
12-10 113
1.引入 &lt;dependency&gt; &lt;groupId&gt;com.alibaba&lt;/groupId&gt; &lt;artifactId&gt;fastjson&lt;/artifactId&gt; &lt;version&gt;1.2.54&lt;/version&gt; &lt;/dependency&gt; 2.map和jso
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-12 3万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理、漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆级教程,还望大家多多支持。
Jeecg-boot开源项目:前后端分离的积分管理系统
资源摘要信息:"积分管理系统java源码-jeecg-boot:jeecg-boot" ### 知识点概述: #### 1. Jeecg-boot开源项目 - **Jeecg-boot**是一个基于SpringBoot的快速开发平台,旨在简化企业级应用的开发流程,提供了一套完整...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值