高危!Fastjson反序列化漏洞风险

已于 2022-06-01 10:42:35 修改
阅读量682 收藏
点赞数
分类专栏: Java 文章标签: 安全 fastjson
于 2022-06-01 10:41:42 首次发布
原文链接:https://www.163.com/dy/article/H8K4OLEL0552XINH.html
版权

2022-05-30 11:47:31 来源: 开源字节 在这里插入图片描述

1、漏洞概述

近日,Fastjson Develop Team发布安全公告,修复了一个存在于Fastjson1.2.80及之前版本中的反序列化漏洞。

Fastjson是一个由Java语言编写的高性能JSON库,它采用名为“假定有序快速匹配”的算法将JSON Parse的性能提升到极致。由于Fastjson接口简单易用,目前已被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景中。

由于Fastjson基于autoType黑白名单对反序列化漏洞进行防御的安全机制存在缺陷,成功利用该缺陷可绕过autoType的防御机制,从而导致Fastjson将存在风险的类进行反序列化处理,以达到执行远程代码的目的。

2、受影响的版本

特定依赖存在下影响 ≤1.2.80

3、漏洞等级

风险评级:高危!

4、修复建议

  1. 升级到新版本1.2.83,下载地址:

https://github.com/alibaba/fastjson/releases/tag/1.2.83

该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。)

5.开源字节低代码平台会受影响吗?该如何处理?

答:会的。因为我们也在使用Fastjson,且版本号是,我们已经升级到最新版1.2.83,fork代码的同学可以pull最新的代码。或者手动修改一下父工程中的版本号,如下图所示:

1.2.79

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lYVCQPi1-1654051245132)(https://nimg.ws.126.net/?url=http%3A%2F%2Fdingyue.ws.126.net%2F2022%2F0530%2F8410cad3j00rcof700019c000km00a0m.jpg&thumbnail=660x2147483647&quality=80&type=jpg)]

如若转载,请注明出处:开源字节 https://sourcebyte.cn/article/140.html
s://sourcebyte.cn/article/140.html

长庚~Richarlie
关注
专栏目录
Java代码审计之Fastjson反序列化漏洞详解
悦分享
09-16 2175
FastJson 是一个由阿里巴巴研发的java库,FastJson是开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到Java Bean。“自2017年3月15日,fastjson官方主动爆出其在1.2.24及之前版本存在远程代码执行高危安全漏洞以来,各种新型绕过姿势层出不穷。漏洞被利用本质找到一条有效的攻击链,攻击链的末端就是有代码执行能力的类,来达到我们想做的事情,一般都是用来RCE(远程命令执行)。
fastjson 2.0.28发布
bingyu1024的博客
04-27 209
Maven中央仓库的统计数据显示,2023年4月份fastjson2下载量为45万。Spring 5 extension配置。Spring 6 extension配置。编辑:吴康宁,审核员:清蒸github。
Fastjson反序列化漏洞
Massimo__JAVA的博客
07-16 941
Fastjson是一款广泛应用于Java开发的JSON解析库,它提供了高效、方便、安全的序列化和反序列化功能。通过对Fastjson漏洞的研究,发现在其默认配置下,Fastjson存在高危漏洞,攻击者可以利用该漏洞执行任意代码,从而实现远程代码执行攻击。
fastjson反序列化漏洞
最新发布
qq_73792226的博客
08-15 651
Fastjson是阿里巴巴公司开源的一款高性能的Java语言JSON处理库,广泛应用于Web开发、数据交换等领域。然而,由于Fastjson在解析JSON数据时存在安全漏洞,攻击者可以利用该漏洞执行任意代码,导致严重的安全威胁。Fastjson反序列化漏洞是一个严重的安全问题,需要引起足够的重视。开发者应该及时关注安全公告,升级Fastjson版本,并加强输入验证和安全管理。同时,用户也应关注系统安全,定期进行安全审计和监控,以确保系统的安全性。
Fastjson 被曝高危漏洞!附解决方法
JAVA葵花宝典
05-30 4542
来源:安全客https://www.anquanke.com/post/id/2070290x01 漏洞背景2020年05月28日, 360CERT监测发现业内安全厂商发布了Fastj...
Fastjson反序列化漏洞风险
詹Sir的博客
05-30 302
这样的场景你是不是很熟悉?客户让你做一个软件,你需要他给你写出需求,当他给你写出需求后,在你认为时间非常紧的情况下,你辛辛苦苦,加班加点,费劲九牛二虎之力,最后赶在最后时刻给客户提交了,你满怀希望等待客户给你的表扬,你万分坚信领导对你的辛苦会给予高度认可和鼓励,你觉得很快就要戴一朵“小红花”时,最后你得到的是绵绵无绝期的等待,甚至是客户的不满意,这是为什么呢?这种情况在我的团队里也会出现,有时候我让改一个东西,经常得到的回复就是:”客户就是这么要求的,而且描述很清晰,不能改!”, 最后如果不改的结果就是客
关于Java组件fastjson存在反序列化漏洞
lujiawei00的专栏
08-25 1543
据国家网络与信息安全信息通报中心监测发现,阿里巴巴公司开源Java开发组件fastjson存在反序列化漏洞fastjson被众多java软件作为组件集成,广泛存在于java应用的服务端代码中。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。此次事件影响fastjson1. 2. 80及之前所有版本。
坑爹fastjson又成黑洞!这次危害可导致服务瘫痪!
xmt1139057136的专栏
12-11 497
Struts2 是业界有名的漏洞之王,Fastjson 近来也不甘示弱,连续被爆出了非常多的漏洞,吓的像我这样的老程序员都不敢使用了!拼实力坑爹,Fastjson 当仁不让!0x00 漏...
Fastjson 反序列化漏洞利用总结
roukmanx的博客
12-19 1602
本篇文章对Fastjson漏洞利用的过程做个简单的记录。 背景: Fastjson是Alibaba开发的,java语言编写的高性能JSON库,采用“假定有序快速匹配”的算法,号称Java语言中最快的JSON库。 其项目地址为https://github.com/alibaba/fastjson,其提供两个主要接口toJsonString和parseObject来分别实现序列化和反序列化。示例代码:...
fastjson_1.2.47 反序列化漏洞复现
acdcccc的博客
09-19 278
fastjson 1.2.47 反序列化漏洞复现
告急!fastjson又被发现漏洞,这次危害可导致服务瘫痪!
Java后端技术
09-08 336
点击上方“Java后端技术”,选择“置顶或者星标”你关注的就是我关心的!本文来源:https://tinyurl.com/y53yanrw上一篇:不敢相信?System....
Fastjson2 <== 2.0.26反序列漏洞
黑剑
02-28 1832
根据@Y4TACKER作者在2023-03-20发布了一篇关于Fastjson原生反序列化的文章,文章中引入注入的是利用条件限制,不常常关注漏洞预警或者内容的几乎都是未发觉Fastjson2 到Fastjson2 2.0.26版本都有问题,其实如果单独去使用一些关键词去搜索:Fastjson2漏洞Fastjson2 Payload的结果内容比较乱比较杂,几乎参杂了Fastjson1的SEO搜索内容,那么就可能在一时没注意的情况下直接滑过。
Fastjson又被发现漏洞,这次危害可导致服务瘫痪!
东境物语
09-10 865
报告编号:B6-2019-090501 报告来源:360-CERT 报告作者:360-CERT 更新日期:2019-09-05 0x00 漏洞背景 2019年9月5日,fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中包含x转义字符时可能引发OOM的问题的修复。 360CERT 判断该漏洞危害中。影响...
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 3377
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
fastjson jar包_fastjson反序列化漏洞复现分析
weixin_39874366的博客
11-30 211
今天老大突然安排我一个很有意思的问题,需要测试一下关于fastjson反序列化漏洞的问题。(因为项目里面有用到!!) 首先网上查阅了下资料:漏洞危害:严重 危 危 危。。。FastJson最新(2019年6月)爆出的绕过方法可以通杀1.2.48版本以下所有,有传言在autotype开启...
fastjson反序列化漏洞_Fastjson反序列化漏洞的检测和利用
05-21
1. 利用Fastjson反序列化漏洞执行远程命令:黑客可以构造一个恶意JSON字符串,通过Fastjson反序列化漏洞实现远程命令执行。 2. 利用Fastjson反序列化漏洞实现文件读取:黑客可以构造一个恶意JSON字符串,通过...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值