Fastjson反序列化远程代码执行漏洞

最新推荐文章于 2024-07-09 14:25:33 发布
最新推荐文章于 2024-07-09 14:25:33 发布
阅读量1.7k 收藏
点赞数
分类专栏: # 系统安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37634156/article/details/125187701
版权
Fastjson是阿里巴巴的一个开源组件,存在远程代码执行的安全漏洞,可能导致服务器权限被窃取和敏感信息泄露。影响范围包括Fastjson版本小于等于1.2.80。建议升级到1.2.83或更高版本,或者启用SafeMode配置以防范反序列化攻击。如无法立即升级,可参考临时缓解措施。
摘要由CSDN通过智能技术生成

漏洞说明

        Fastjson是阿里巴巴公司开发的开源Java组件,攻击者利用此漏洞可在目标服务器上实现任意代码执行实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄露等严重影响。Fastjson组件用于Java对象和JSON格式字符串的快速转换,在Java系统中应用广泛。

影响范围

Fastjson<=1.2.80

处置建议

1、目前阿里巴巴公司已发布Fastjson 1.2.83版本修复此漏洞,可升级更新。

下载地址:

https://github.com/alibaba/Fastjson/releases/tag/1.2.83

2、也可以兼容性测试后升级至Fastjson v2版本。

下载地址:

https://github.com/alibaba/fastjson2/releases

3、如暂时不能升级的用户可参考临时缓解措施:在Fastjson1.2.68版本及之后的版本可通过开启SafeMode配置来关闭AutoType功能,防范反序列化攻击。需要注意评估关闭AutoType功能对业务的影响。

唯空城
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fastjson1.2.80反序列化漏洞及POC代码及规避方案
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-11 3004
解决方案2:safeMode加固 fastjson1.2.68级之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。 开启方法: https://github.com/alibaba/fastjson/wiki/fastjson_safemode 1.2.83修复了此次发现的漏洞,开启safeMode是完全关闭autoType功能,避免类似问题再次发生,这可能会有
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。
Fastjson漏洞详情
GyaoG的专栏
05-30 5567
一、fastjson漏洞详情 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,是目前Java语言中最快的JSON库。由于Fastjson其优越的性能,被广泛使用在缓存序列化、协议交互等多种应用场景。然而在2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认aut...
【Linux】升级FastJSON版本-jar
最新发布
m0_52985087的博客
07-09 945
在长期运行的应用服务器上,近期的安全漏洞扫描揭示了fastjson组件存在潜在的安全隐患(FastJSON是一个Java 语言实现的 JSON 解析器和生成器。FastJSON存在远程代码执行漏洞,恶意攻击者可以通过此漏洞远程执行恶意代码来入侵服务器)。为解决这一漏洞,解决方案是对fastjson版本的升级,以增强系统的安全性。为了避免因重新打包整个应用带来的不便与效率损失,我们采取了一种更为灵活的更新策略——直接在生产环境中升级fastjson至最新稳定版本。
fastJson1.2.80漏洞修复
Champion-Dai
06-15 3671
Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType关闭限制,从而反序列化安全风险的类,在特定条件下这可能导致远程代码执行。高危、任意命令执行Fastjson1.2.80以下三种修复方案根据业务选择任一合适方案即可:方案一、建议升级到最新版本1.2.83。参考链接:https://github.com/alibaba/fastjson/releases/tag/1.2.83方案二、safeMode加固:Fastjson1.2.6
fastjson <= 1.2.80 反序列化任意代码执行漏洞
qq_18209847的博客
05-24 4382
fastjson <= 1.2.80 反序列化任意代码执行漏洞
Fastjson 1.2.80 及以下版本反序列化漏洞(FastJson1.2.80) rce
yggcwhat
05-04 1727
Fastjson 1.2.80 及以下版本反序列化漏洞(FastJson1.2.80) rce
漏洞分析】Fastjson1.2.80版本RCE漏洞原理
olga5abl的博客
10-24 2406
通过研究v1.2.50和v1.2.68的绕过方式,主要是在ObjectDeserializer接口的子类JavaBeanDeserializer中存在expectClass非空的checkAutoType调用,这也是绕过的关键。这就是Fastjson中引入AutoType的原因,但是也正因为这个特性,因为功能设计之初在安全方面考虑不周,给后续的Fastjson使用者带来了无尽的痛苦。但是,Fastjson在序列化及反序列化的过程中,没有使用Java自带的序列化机制,而是自定义了一套机制。
Fastjson 1.2.80 及之前版本中反序列化漏洞
AlbenXie的博客
05-26 1544
修复建议: 1.升级到最新版本1.2.83,下载链接:Release FASTJSON 1.2.83版本发布(安全修复) · alibaba/fastjson · GitHub 2.升级到 Fastjson v2,Fastjson v2地址:https://github.com/alibaba/fastjson2/releases
fastjson 1.2.80版本反序列化漏洞:POC代码及规避方案(20220523)
杨小熊学习笔记
05-29 7350
fasjton 1.2.80版本反序列化漏洞:POC代码及规避方案(20220523)
预警事项:Fastjson反序列化远程代码执行漏洞风险预警
05-24
阿里巴巴发布关于Fastjson安全公告,在1.2.80及以下版本中存在反序列化风险。Fastjson是阿里巴巴的开源JSON解析库,可以解析JSON格式的字符串,支持将Java Bean...攻击者利用该漏洞可实现在目标机器上的远程代码执行
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
**Fastjson 1.2.69 反序列化远程代码执行漏洞详解** Fastjson 是阿里巴巴开源的一个高性能的 JSON 库,广泛应用于 Java 开发中,用于 JSON 的序列化和反序列化操作。然而,Fastjson 1.2.69 版本存在一个严重的反序...
fastjson1.2.24反序列化RCE
06-24
**Fastjson 1.2.24 反序列化远程代码执行漏洞详解** 在Java开发中,Fastjson是一个广泛使用的高性能JSON库,它提供了一种快速解析和生成JSON的机制。然而,像许多处理序列化和反序列化的库一样,Fastjson在某些版本...
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
Fastjson 1.2.47 远程代码执行漏洞详解及修复策略》 Fastjson,一个由阿里巴巴开发的高性能、轻量级的Java语言JSON处理库,因其高效的解析速度和广泛的功能,在国内的互联网行业中被广泛应用。然而,任何优秀的...
麻了!Fastjson 再曝反序列化漏洞。。
HollisChuang's Blog
05-29 416
Hollis的新书限时折扣中,一本深入讲解Java基础的干货笔记!来源:© Alibaba Fastjson Develop Teamgithub.com/alibaba/fastjson/wiki/security_update_20220523近日 Fastjson Develop Team 发现 fastjson 1.2.80及以下存在新的风险,请关注。1. 风险描...
漏洞预警|Fastjson 反序列化漏洞
LJQClqjc的博客
05-26 1047
近日,棱镜七彩威胁情报平台监测到,阿里巴巴发布了Fastjson的风险通告,该漏洞等级为高危,可能导致攻击远程服务器,安全风险影响较大。棱镜七彩建议Fastjson用户尽快排查并采取安全措施保障系统安全。 项目介绍 Fastjson由阿里巴巴开发的开源JSON解析库,由JAVA语言编写。Fastjson可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化。 项目主页 GitHub - alibaba/fastjson: A fast J
安全狗高危安全通告】fastjson1.2.80反序列化漏洞解决方案
bocco的博客
05-26 551
安全狗应急响应中心监测到Fastjson官方发布,Fastjson1.2.80版本中存在反序列化漏洞。攻击者可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。
Fastjson 反序列化任意代码执行漏洞修复
bigwood99的博客
07-11 1233
腾讯云主机安全扫描报告,有几台主机存在“Fastjson 反序列化任意代码执行漏洞”。 安全报告漏洞信息如下: CVE编号 pcmgr-345005 披露时间 2022-05-23 漏洞描述:
21 - vulhub - fastjson 反序列化导致任意命令执行漏洞
m0_67621628的博客
03-22 2326
2.编译并启动环境 docker-compose up -d 3.查看环境运行状态 docker ps | grep rce 访问 8090 端口 []( )漏洞利用 首先 vulhub 给出的复现提示如下 因为目标环境是Java 8u102,没有com.sun.jndi.rmi.object.trustURLCodebase的限制, 我们可以使用com.sun.rowset.JdbcRowSetImpl的利用链,借助JNDI注入来执行命令。 首先编译并上传命令执行代码,如http://evil
fastjson <= 1.2.80 反序列化任意代码执行漏洞
09-02
fastjson <= 1.2.80 存在反序列化任意代码执行漏洞。该漏洞利用黑白名单防御机制的绕过,即使autoType关闭也可能导致远程命令执行漏洞。这个漏洞的利用门槛较低,可以绕过默认限制攻击远程服务器,风险影响较大。建议fastjson用户立即采取安全措施来保护系统安全。对受影响的特定依赖≤1.2.80的情况下会有影响。为了解决这个问题,可以采取以下几种安全措施: 1. 升级到最新版本1.2.83,该版本修复了此次发现的漏洞。注意,该版本中涉及autotype行为变更,可能在某些场景下存在不兼容情况。如果遇到问题,可以到fastjson的Github页面寻求帮助。 2. 在1.2.68及之后的版本中引入了safeMode,可以通过配置safeMode来关闭autoType功能。这样无论是白名单还是黑名单,都不支持autoType,可以防止反序列化Gadgets类的变种攻击。但是请注意,在关闭autoType之前要充分评估对业务的影响。具体的配置方法可以参考fastjson的Wiki页面。 3. 考虑升级到fastjson v2版本,可以参考fastjson的Github页面了解相关信息。 总结起来,为了解决fastjson <= 1.2.80 反序列化任意代码执行漏洞,建议采取上述的安全措施,包括升级到最新版本、配置safeMode关闭autoType功能或者考虑升级到fastjson v2版本。这样可以防止漏洞的利用,并提升系统的安全性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [fastjson1.2.8 反序列化远程代码执行漏洞](https://download.csdn.net/download/xiazai_ceshi/18466350)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [fastjson <= 1.2.80 反序列化任意代码执行漏洞](https://blog.csdn.net/qq_18209847/article/details/124952791)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值