低版本Fastjson 高危漏洞~小伙伴主要注意了!

最新推荐文章于 2024-08-09 20:21:52 发布
最新推荐文章于 2024-08-09 20:21:52 发布
阅读量713 收藏 1
点赞数
分类专栏: 随笔
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jjc120074203/article/details/108582939
版权

漏洞背景:

Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。

Fastjson存在远程代码执行漏洞,autotype开关的限制可以被绕过,链式的反序列化攻击者精心构造反序列化利用链,最终达成远程命令执行的后果。此漏洞本身无法绕过Fastjson的黑名单限制,需要配合不在黑名单中的反序列化利用链才能完成完整的漏洞利用。

https://cloud.tencent.com/announce/detail/1112

影响版本:

Fastjson <=1.2.68

阿里官方在之后的版本对此漏洞进行了回复:
在这里插入图片描述
在这里插入图片描述
大家可以自行通过gitHub网站,查询1.2.69版本以后的更多的更新细节,根据自己项目情况更新至最新的版本:

https://github.com/alibaba/fastjson/releases

猴凉凉
关注
专栏目录
Fastjson漏洞
weixin_43873557的博客
02-06 5286
Fastjson概述 Fastjson是阿里巴巴公司开源的一款json解析器,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到JavaBean。 ➢历史漏洞 Fastjson <=1.2.24 反序列化远程命令执行漏洞 Fastjson <=1.2.41 反序列化远程命令执行漏洞 Fastjson <=1.2.42 反序列化远程命令执行漏洞 Fastjson <=1.2.43 反序列化远程命令执行漏洞
fastjson框架漏洞复现
没有
10-23 2355
fastjson是阿里巴巴开源的json解析库,通常被用于java object和json字符之间进行转换,提供两个方法json.tojsonstring和json.parseobject/json.parse来分别实现序列化与反序列化。
【笔记】fastjson低版本高危漏洞预警
u010039262的博客
06-06 918
Fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险 漏洞影响版本:Fastjson≤1.2.80
Fastjson反序列化漏洞
最新发布
qq_50296568的博客
08-09 1168
使用恶意MySQL的url作为参数创建一个com.mysql.cj.jdbc.admin.MiniAdmin对象可以通过MySQL的JDBC驱动的com.mysql.cj.jdbc.admin.MiniAdmin类创建一个指定url的JDBC连接。再通过LOAD DATA LOCAL INFILE语句读取任意文件。只要用户期望类继承自 Throwable 类,Fastjson便会将该类信任,从而造成只要是继承Throwable的任意类都可以被反序列化。生成恶意mysql文件后,
fastjson 系列漏洞
SHELLCODE_8BIT的博客
11-14 2429
jackson 和 fastjson 在序列化的时候,先利用反射找到对象类的所有 get 方法,接下来去 get,然后小写化,作为 json 的每个 key 值,而 get 方法的返回值作为 value。接下来再反射 field,添加到 json 中。
FastJson存在漏洞,该漏洞影响Fastjson 1.2.60之前所有版本
weixin_39309402的博客
09-11 4661
接到总行通知,FastJson被发现存在远程拒绝服务漏洞,攻击者即可通过精心构造的请求包对使用Fastjson的服务器造成远程拒绝服务攻击,可导致服务器宕机,目前确认该利用方式影响FastJson <1.2.60 版本。 据悉该漏洞已在2019年9月完成修复,漏洞利用方式已于2019年9月5日开始被公开。由于目前该漏洞的风险等级被定义为“高危”,所以总行给了修复建议: 要求受影响版本升级...
Fastjson1.2.47以及之前的所有版本
10-26
Fastjson1.2.47以及之前的所有版本
高版本的fastjson-1.2.71解决安全漏洞.rar
04-14
在标题提到的“高版本的fastjson-1.2.71解决安全漏洞”中,我们主要关注的是Fastjson如何通过更新到1.2.71版本来修复这些已知的安全问题。 Fastjson的安全漏洞通常涉及其自动类型识别机制。这个机制允许JSON字符串...
fastjson-1.2.83 针对近期阿里fastjson漏洞,升级解决
05-24
Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
Struts2低版本安全漏洞及解决办法
01-12
Struts2低版本安全漏洞及解决办法 Struts2低版本安全漏洞及解决办法
告急!fastjson又被发现漏洞,这次危害可导致服务瘫痪!
Java后端技术
09-08 336
点击上方“Java后端技术”,选择“置顶或者星标”你关注的就是我关心的!本文来源:https://tinyurl.com/y53yanrw上一篇:不敢相信?System....
fastjson版本安全性问题
BF的博客
09-11 4152
最近自己搞了个小项目玩,由于用的fastjson版本过低,上传到github后检测出fastjson安全性问题如下图: 希望对也在使用低版本的你们有所帮助~.~
Fastjson2 <== 2.0.26反序列漏洞
黑剑
02-28 1757
根据@Y4TACKER作者在2023-03-20发布了一篇关于Fastjson原生反序列化的文章,文章中引入注入的是利用条件限制,不常常关注漏洞预警或者内容的几乎都是未发觉Fastjson2 到Fastjson2 2.0.26版本都有问题,其实如果单独去使用一些关键词去搜索:Fastjson2漏洞Fastjson2 Payload的结果内容比较乱比较杂,几乎参杂了Fastjson1的SEO搜索内容,那么就可能在一时没注意的情况下直接滑过。
高危Fastjson反序列化远程代码执行漏洞风险通告,请尽快升级
葡萄城技术团队博客
05-24 5405
据国家网络与信息安全信息通报中心监测发现,开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。 据统计,此次事件影响Fastjson 1.2.80及之前所有版本。目前, Fastjson最新版本1.2.83已修复该漏洞。 葡萄城提醒广大开发者:请及时排查梳理受影响情况,在确保安全的前提下修复漏洞、消除隐患,提高网络系统安全防护能力,严防网络攻击事件。 漏洞描述 5月23日,Fastj
框架/组件漏洞系列2:fastjson漏洞汇总
热门推荐
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-04 1万+
一、Fastjson 概况 1、fastjson简介 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。具有执行效率高的特点,应用范围广泛。 优点: FastJson数度快,无论序列化和反序列化,都是当之无愧的fast 功能强大(支持普通JDK类包括任意Java Bean Class、Collection、Map、Date或enum) 零依赖(没有依赖其它任何类库) 2、漏洞.
7-Zip 安全漏洞FASTJSON 2.0 发布;程序员延寿指南…|叨资讯
强哥叨逼叨
04-22 3542
点击关注强哥,还有100多G的面试资料等你来拿 哈喽,大家好,我是强哥。 GitHub停用俄罗斯公司开发者账号;7-Zip 安全漏洞;Git 2.6发布;甲骨文修复 Java “年度加密漏洞”;FASTJSON 2.0 发布;Node.js 18 发布;星星(start)的失而复得;计算机类PDF电子书下载;程序员延寿指南;30 秒的代码;山姆抢购。 科技资讯 GitHub停用俄罗斯公司开发者账号 据俄媒Habr报道,从4月13日起,GitHub开始屏蔽受美国制裁公司的俄罗斯开发者账户,其中包
2022-10 springboot修复fastjson autoType漏洞
Little Coding Farmer!
10-31 1561
springboot修复fastjson autoType漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值