fastJson≤1.2.80漏洞修复

已于 2023-03-07 17:35:58 修改
阅读量3.8k 收藏 5
点赞数
分类专栏: 沐白杂记(Java) 文章标签: fastjson fastjson漏洞修复 fastjson漏洞
于 2022-06-15 11:12:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38584262/article/details/125293210
版权

一、fastjson安全漏洞

在这里插入图片描述

【漏洞概况】

在 Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType关闭限制,从而反序列化有安全风险的类,在特定条件下这可能导致远程代码执行。

【漏洞危害】

高危、任意命令执行。

【影响范围】

Fastjson ≤1.2.80

二、修复方案

以下三种修复方案根据业务选择任一合适方案即可:

方案一、建议升级到最新版本1.2.83。

参考链接:https://github.com/alibaba/fastjson/releases/tag/1.2.83

方案二、safeMode加固:Fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持 autoType,可杜绝反序列化Gadgets类变种攻击(关闭 autoType 注意评估对业务的影响)。

参考链接:https://github.com/alibaba/fastjson/wiki/security_update_20220523

方案三、升级至Fastjson v2。

Fastjson v2地址:https://github.com/alibaba/fastjson2/releases

Champion-Dai
关注
专栏目录
Fastjson 反序列化任意代码执行漏洞修复
bigwood99的博客
07-11 1276
腾讯云主机安全扫描报告,有几台主机存在“Fastjson 反序列化任意代码执行漏洞”。 安全报告漏洞信息如下: CVE编号 pcmgr-345005 披露时间 2022-05-23 漏洞描述:
fastjson框架漏洞复现
没有
10-23 2365
fastjson是阿里巴巴开源的json解析库,通常被用于java object和json字符之间进行转换,提供两个方法json.tojsonstring和json.parseobject/json.parse来分别实现序列化与反序列化。
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-12 3万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理、漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆级教程,还望大家多多支持。
fastjson漏洞--以运维角度进行修复
最新发布
菜鸟运维升级之路
09-11 626
漏洞是三个月前由安全团队扫描出来的,主要影响是: FastJSON是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点,应用范围广泛。FastJSON 存在反序列化远程代码执行漏洞漏洞成因是Fastjson autoType开关的限制可被绕过,然后反序列化有安全风险的类。攻击者利用该漏洞可实现在目标机器上的远程代码执行。本文主要从运维侧修复手段介绍了该漏洞的两种修复方式。
fastjson <= 1.2.80 反序列化任意代码执行漏洞
qq_18209847的博客
05-24 4494
fastjson <= 1.2.80 反序列化任意代码执行漏洞
Fastjson漏洞修复参考
煜铭2011
06-20 6995
Fastjson漏洞修复参考 1. 漏洞背景 ​ Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 Fastjson多处补丁修补出现纰漏,Fastjson1.2.68版本以下,无需Autotype开启,或者可绕过autoType限制,攻击者即可通过精心构造的请求包在使用Fastjson的服务器上进行远程代码执行。 受影响的版本: fastjson <=1.2.68 fas
Fastjson【RCE1.2.47】漏洞复现
02-24 1436
Fastjson漏洞原理和RCE1.2.47漏洞复现
fastjson-1.2.70.rar
06-19
4. **安全更新**:Fastjson持续关注安全问题,1.2.70可能修复了之前版本中发现的安全漏洞,增强了数据安全性。 5. **Bug修复**:此版本可能解决了前一版本存在的已知问题,提高了软件的稳定性。 三、使用Fastjson ...
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
**Fastjson 1.2.69 反序列化远程代码执行漏洞详解** Fastjson 是阿里巴巴开源的一个高性能的 JSON 库,广泛应用于 Java 开发中,用于 JSON 的序列化和反序列化操作。然而,Fastjson 1.2.69 版本存在一个严重的反序...
Fastjson小于1.2.67 UnSerializable RCE分析研究
12-20
漏洞影响Fastjson的所有版本,直至1.2.66。如果你的应用程序正在使用Fastjson且版本低于1.2.67,那么你的系统可能处于风险之中。 **漏洞类型** 这是一个由于反序列化操作引发的RCE漏洞。当Fastjson的`autotype`...
fastjson-1.2.69.zip
05-14
**Fastjson 深度解析:安全漏洞与防范策略** Fastjson 是阿里巴巴开源的一个高性能的 Java JSON 库,它能够方便地将 Java 对象转换为 JSON 字符串,同时也能够将 JSON 内容解析为 Java 对象。由于其高效、易用的...
fastjson1.2.75暂未修补的反序列化“漏洞“-附件资源
03-02
fastjson1.2.75暂未修补的反序列化“漏洞“-附件资源
fastjson 1.28版本以下漏洞修复
enthan809882的博客
06-10 1250
场景 fastjson <=1.2.68 版本有漏洞。 服务器上所有低于此版本的需升级为安全版本。 升级到最新版本1.2.69或者更新的1.2.70版本。 过程 查找文件名包含fastjson的文件 find / -name fastjson* ; # 查找结果为 fastjson-1.2.7 ,ok,我们的版本是正确的,真的是这样嘛? 结果被打脸了。 注意1.2.7和1.2.70是完全不一样的版本。一开始真的以为一样呢,后来去maven官网下载jar包,看到版本列表才发现原来1.2.7是早的版本
FastJson 漏洞复现
来日可期的博客
09-11 2537
FastJson 1.2.24 反序列化导致任意命令执行漏洞Fastjson 1.2.47 远程命令执行漏洞
Fastjson漏洞复现
weixin_53747497的博客
03-29 2180
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串, 支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 Java Bean。fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法 来 访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
Fastjson反序列化漏洞复现
m0_46371267的博客
09-29 1317
Fastjson反序列化漏洞复现
fastjson漏洞修复:开启safeMode来禁用autoType
沛哥儿的专栏
05-26 7163
Fastjson官方再次披露严重漏洞,包括rocketmq、jeecg-boot等近15%的github开源项目受影响 2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认autoType关闭限制,可能会导致远程服务器被攻击,风险影响较大。
Fastjson 被曝高危漏洞!附解决方法
JAVA葵花宝典
05-30 4547
来源:安全客https://www.anquanke.com/post/id/2070290x01 漏洞背景2020年05月28日, 360CERT监测发现业内安全厂商发布了Fastj...
fastjson1.2.80漏洞复现
09-14
要复现fastjson1.2.80漏洞,可以参考以下步骤: 1. 了解漏洞背景:根据的引用,了解Fastjson v1.2.80存在AutoType绕过反序列化漏洞。这个漏洞允许攻击者构造恶意的JSON数据,并通过反序列化操作执行恶意代码。 2...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Champion-Dai

你的鼓励将是我创作最大的动力,

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值