【漏洞公告】Fastjson远程代码执行漏洞

最新推荐文章于 2024-07-27 18:27:11 发布
最新推荐文章于 2024-07-27 18:27:11 发布
阅读量2.1k 收藏
点赞数 1
文章标签: java 嵌入式 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luanxiyuan/article/details/84877349
版权

2017年3月15日,Fastjson 官方发布安全公告,该公告介绍fastjson在1.2.24以及之前版本存在代码执行漏洞代码执行漏洞,恶意攻击者可利用此漏洞进行远程代码执行,从而进一步入侵服务器,目前官方已经发布了最新版本,最新版本已经成功修复该漏洞。

具体漏洞详情如下:

漏洞编号:

暂无

漏洞名称:

Fastjson远程代码执行漏洞

官方评级:

高危

漏洞描述:

fastjson在1.2.24以及之前版本存在代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,fastjson在反序列化时存在漏洞,可导致远程任意代码执行漏洞。

漏洞利用条件和方式:

黑客可以远程代码执行成功利用该漏洞。

漏洞影响范围:

1.2.24及之前版本

漏洞检测确认:

  1. 检查fastjson 版本是否在1.2.24版本内
  2. lsof | grep fastjson

漏洞修复建议(或缓解措施):

目前官方已经发布了最新版本,该版本已经成功修复该漏洞。

阿里云上用户建议采用以下两种方式将fastjson升级到1.2.28或者更新版本:

更新方法如下:

  • 1.Maven 依赖配置更新

通过 maven 配置更新,使用最新版本,如下:

  1. <dependency>
  2. <groupId>com.alibaba</groupId>
  3. <artifactId>fastjson</artifactId>
  4. <version>1.2.28</version>
  5. </dependency>
  • 2.最新版本下载

下载地址:http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/

  • 3.云盾WAF防护

如果您无法及时升级fastjson,您可以选用阿里云云盾WAF自动防护。

情报来源:

luanxiyuan
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Json学习总结(6)——Fastjson远程代码执行漏洞
科技D人生
07-12 2794
一、修复方法 最近发现fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞,为了保证系统安全,请升级到1.2.28/1.2.29/1.2.30/1.2.31或者更新版本。 1.2.29//1.2.30/1.2.31是在1.2.28版本上修复了一些大家升级过程中遇到的问题的版本,非安全问题,如果升级到1.2.25~1.2.28以及各种sec01版本的,也是没有安全问题的。 1...
用友 GRP-U8 fastjson远程代码执行漏洞复现(XVE-2024-8863)
0xSec
04-24 799
用友 GRP-U8 R10系列版本 VerifyToken 接口存在低版本fastjson反序列化漏洞,未经身份验证的攻击者可利用此漏洞获取服务器权限。
世平信息关于Fastjson反序列化远程命令执行漏洞的预警
shipinginfo的博客
07-18 697
声明:本文关于详细升级方法部分引用至 GitHub 查看原文链接:http://suo.im/4DzZ0M 背景介绍 Fastjson 是一个 Java 语言编写的高性能功能完善的 JSON 库。采用独创的算 法,将 parse 的速度提升到极致,超过所有 json 库,包括曾经号称最快的 jackson。并且还超越了 google 的二进制协议 protocol buf。 1.1 漏洞描...
fastjson远程代码执行漏洞
网安君的博客
03-29 5715
Fastjson 1.2.24 远程代码执行漏洞 漏洞说明 FastJson库是Java的一个Json库,其作用是将Java对象转换成json数据来表示,也可以将json数据转换成Java对象。在2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 前提条件 开启autotype 影响范围 fastjson 1.2.22-1.2.24 jdk 1.7,1.8版本 漏洞复现 由于Fastj
fastjson反序列化漏洞原理及<=1.2.24&<=1.2.47&Fastjson v1.2.80简单利用&不出网判断&修复方法
最新发布
m0_70535581的博客
07-27 1566
fastjson 是一个 有阿里开发的一个开源Java 类库,可以将 Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。
Fastjson反序列化远程代码执行漏洞
小云很优秀
05-24 540
5月23日,绿盟科技CERT监测到Fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险,在特定条件下可绕过默认autoType关闭限制,从而反序列化有安全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行。 参考链接:https://github.com/alibaba/fastjson/wiki/security_update_20220523 影响范围 受影响版本 Fastjson ≤ 1.2.80 解决方案 升级到最新版本1.2.83 下载链接:https://.
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 3250
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
FastJson远程命令执行漏洞
PassionNingG的博客
09-03 1390
fastjson漏洞其实就是fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类中连接远程主机,通过其中的恶意类执行代码。笔记只做学习记录分享。文章内容多来于如有侵权立删。# FastJson远程命令执行漏洞学习笔记fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
Fastjson远程代码执行漏洞(CNVD-2019-22238) 漏洞复现
Boom!脑洞大爆炸的博客
07-07 888
Fastjson远程代码执行漏洞(CNVD-2019-22238) 漏洞复现
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
fastjson1.2.69反序列化远程代码执行漏洞介绍fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安全措施阻止漏洞攻击
Fastjson 爆出远程代码执行高危漏洞
金溪的博客
03-23 4217
fastjson近日曝出代码执行漏洞,恶意用户可利用此漏洞进行远程代码执行,入侵服务器,漏洞评级为“高危”。基本介绍fastjson 是一个性能很好的 Java 语言实现的 JSON 解析器和生成器,来自阿里巴巴的工程师开发。漏洞介绍fastjson在1.2.24以及之前版本近日曝出代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,fastjson在反序列化时存在漏洞,可导致远程...
FastJson反序列化远程命令执行漏洞分析
moshao123的博客
03-17 853
FastJson反序列化漏洞分析 文章目录FastJson反序列化漏洞分析前言一、Fastjson的介绍二、简单使用1.引入库2.读入数据总结欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入
rmi远程代码执行漏洞_fastjson远程代码执行漏洞复现
weixin_39849153的博客
12-22 368
漏洞原理fastjson提供了autotype功能,在请求过程中,我们可以在请求包中通过修改@type的值,来反序列化为指定的类型,而fastjson在反序列化过程中会设置和获取类中的属性,如果类中存在恶意方法,就会导致代码执行漏洞产生。漏洞利用漏洞利用需要我们在vps上启一个RMI服务并调用class文件(class文件为我们的恶意文件)大概过程就是生成恶意class文件py开启web服务然后开...
rmi远程代码执行漏洞_Fastjson <=1.2.62 远程代码执行-漏洞复现
weixin_39929723的博客
12-22 314
影响范围:Fastjson<=1.2.62需要开启autotypepoc:String text1 = "{\"@type\":\"org.apache.xbean.propertyeditor.JndiConverter\",\"AsText\":\"rmi://127.0.0.1:1099/exploit\"}";pom:com.alibabafastjson1.2.62commons-...
Fastjson 反序列化漏洞
Cover-3321的博客
01-09 2626
fastjson在解析json(反序列化)的过程中,支持使用@Type来实例化一个具体类,且自动调用这个类的set/get方法来访问属性。黑客通过查找代码中的get方法,来远程加载恶意命令,即造成反序列化漏洞
fastjson反序列化漏洞
qq_63980959的博客
03-01 1408
Fastjson是一款开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。​ fastjson反序列化与weblogic、shiro反序列化类似,在客户端将json数据进行序列化传送至服务端后,服务端会将其反序列化读取其中数据,若客户端操控json数据,加入一些恶意类方法、代码,则可能会造成服务端代码执行。同时由于fastjson采用黑名单过滤的方式,也存在着被绕过的风险。
Fastjson反序列化漏洞
Massimo__JAVA的博客
07-16 932
Fastjson是一款广泛应用于Java开发的JSON解析库,它提供了高效、方便、安全的序列化和反序列化功能。通过对Fastjson漏洞的研究,发现在其默认配置下,Fastjson存在高危漏洞,攻击者可以利用该漏洞执行任意代码,从而实现远程代码执行攻击。
fastjson< 1.2.69远程代码执行漏洞cve编号
01-04
fastjson远程代码执行漏洞的CVE编号是CVE-2021-21351。该漏洞源于fastjson在处理JSON数据时存在安全漏洞,攻击者可以通过精心构造的JSON数据来实现远程代码执行,从而对系统进行攻击。 漏洞的产生主要是由于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值