热门Fastjson 中出现高危RCE漏洞

最新推荐文章于 2024-05-23 09:37:22 发布
最新推荐文章于 2024-05-23 09:37:22 发布
阅读量1.2k 收藏 1
点赞数 1
文章标签: java python 安全 json linux
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247512404&idx=1&sn=3f6c217dd2037970aa2fb88576e72223&chksm=ea94803edde30928208f75e8e32f8dad8b673a8bbbddd571da9dc4a14718f8cd9403b3dac39d&scene=126&&sessionid=0
版权

17a4cbecc9c6f298e8e628eb9db31da4.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

0773553ea15f766cb81449a6756b9fb9.png

网络安全研究员详述了最近修复的位于热门 Fastjson 库中的一个高危漏洞(CVE-2022-25845),它可被用于执行远程代码。

该漏洞和受支持的特性 “AutoType” 中的不受信任的反序列化有关。项目维护人员已于2022年5月23日在版本1.2.83中将其修复。

JFrog 公司的研究员 Uriya Yavnieli 在write-up 中指出,“该漏洞影响所有满足如下条件的Java 应用:它们依赖于 Fastjson 版本1.2.80或更早版本,将受用户控制的数据传递给 JSON.parse 或 JSON.parseObject API而不指定反序列化的特定类。”

Fastjson 是一个Java库,用于将Java Objects 转换为JSON 表示,反之亦然。易受该缺陷影响的函数 AutoType 在默认情况下是启用的,当解析可被反序列化到恰当类的对象时,指定自定义类型。

Yavnieli 解释称,“然而,如果被反序列化的JSON 受用户控制,则通过启用 AutoType 进行解析可导致反序列化安全问题,因为攻击者可实例化 Classpath 上的任何类,并以任意参数提供给构造器。”

虽然项目所有人此前引入了禁用 AutoType 的安全模式并开始维护类的阻止列表来防御反序列化缺陷,但新发现的这个漏洞绕过了阻止列表,从而引发远程代码执行后果。

建议Fastjson 用户更新至版本1.2.83,或启用安全模式(不管使用了允许列表还是阻止列表,该函数被关闭),从而有效地关闭反序列化攻击的变体。

Yavnieli 表示,“尽管已存在公开的PoC 利用,且潜在影响非常大(远程代码执行),但攻击的条件并不容易(将不受信任输入传递到特定的易受攻击API中),而且更重要的是,需要开展特定目标的研究,找到合适的小工具类实施利用。”

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

在线阅读版:《2021中国软件供应链安全分析报告》全文

【漏洞预警】FastJson远程代码执行漏洞安全预警通告

新型恶意软件FastPOS专注于数据渗漏速度

原文链接

https://thehackernews.com/2022/06/high-severity-rce-vulnerability.html

题图:Pixabay License‍

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

f117f3e218eb0efeb2dc1ae291529669.png

a4c514e4927443f9e692234f91503363.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   33c4dc5362e83ba475ea9e745610a563.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2022-25845 反序列化漏洞分析
把梦想放飞在蓝色的天空里...
09-20 6916
CVE-2022-25845 反序列化漏洞分析
高风险组件漏洞及修复办法「持续补充更新」
背锅神童的博客
09-18 3283
漏洞漏洞修复、系统漏洞、权限提升漏洞、本地权限提升、注入漏洞、反序列化漏洞、身份认证绕过漏洞、远程代码执行漏洞、系列漏洞
探秘Fastjson RCE:一款强大的安全漏洞验证工具
gitblog_00077的博客
05-23 331
探秘Fastjson RCE:一款强大的安全漏洞验证工具 项目地址:https://gitcode.com/shengqi158/fastjson-remote-code-execute-poc 项目介绍 fastjson-rce-poc 是一个针对Fastjson库的安全漏洞验证项目,它可以帮助开发者和安全研究人员检测其应用程序是否易受远程代码执行(RCE)攻击。该项目提供了一种简单的方法来编译...
Fastjson代码执行漏洞 [CVE-2022-25845].md
07-09
Fastjson代码执行漏洞 [CVE-2022-25845]
漏洞分析】Fastjson1.2.80版本RCE漏洞原理
olga5abl的博客
10-24 2339
通过研究v1.2.50和v1.2.68的绕过方式,主要是在ObjectDeserializer接口的子类JavaBeanDeserializer存在expectClass非空的checkAutoType调用,这也是绕过的关键。这就是Fastjson引入AutoType的原因,但是也正因为这个特性,因为功能设计之初在安全方面考虑不周,给后续的Fastjson使用者带来了无尽的痛苦。但是,Fastjson在序列化及反序列化的过程,没有使用Java自带的序列化机制,而是自定义了一套机制。
网络安全深入学习第七课——热门框架漏洞RCEFastjson反序列化漏洞
p36273的博客
09-18 1666
json全称是JavaScript object notation。即JavaScript对象标记法,使用键值对进行信息的存储。"age":23,json本质就是一种字符串,用于信息的存储和交换。------ Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。
高版本的fastjson-1.2.71解决安全漏洞.rar
04-14
然而,随着广泛使用,Fastjson在早期版本出现了一些安全漏洞,这些漏洞可能导致远程代码执行(RCE)和其他安全风险。在标题提到的“高版本的fastjson-1.2.71解决安全漏洞,我们主要关注的是Fastjson如何通过...
fastjson-rce-exploit:利用fastjson远程执行代码漏洞
03-15
"fastjson-rce-exploit"正是针对Fastjson的一个严重安全漏洞——远程代码执行(RCE)的利用方法。这个漏洞的存在,使得攻击者有可能通过精心构造的JSON输入,执行任意的远程代码,对目标系统造成严重的危害。 ...
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
在1.2.47版本及其以下,Fastjson存在一个严重的远程代码执行(Remote Code Execution,RCE漏洞,使得恶意用户有可能通过精心构造的数据输入,执行任意的系统命令,对系统的安全性构成严重威胁。 ## 漏洞背景与...
fastjson1.2.24反序列化RCE
最新发布
06-24
然而,像许多处理序列化和反序列化的库一样,Fastjson在某些版本存在安全风险,其之一便是“Fastjson 1.2.24反序列化RCE漏洞。这个漏洞允许攻击者通过精心构造的JSON输入,在目标系统上执行任意代码,从而可能...
Fastjson反序列化远程代码执行漏洞
m0_56033865的博客
06-15 4514
据国家网络与信息安全信息通报心监测发现,开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。先贴一个解决漏洞的方案: 不过任何升级一定会伴随或大或小的bug,一定要对业务的影响做评估。下面对漏洞原理进行介绍: fastjson 是阿里巴巴开发的 java语言编写的高性能 JSON 库,用于将数据在 JsonJava Object之间相互转换。它没有用java的序列化机制,而是自
fastjson1.2.83反序列化漏洞
Coder的博客
07-13 6710
【代码】fastjson1.2.83反序列化漏洞
Fastjson 1.2.47 RCE漏洞复现
wutiangui的博客
11-07 338
Fastjson提供了autotype功能,允许用户在反序列化数据通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法,若指定类的指定方法有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。修改用户信息发现有回显。2.开启http服务。
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 3044
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
[漏洞分析] CVE-2022-25636 netfilter内核提权
热门推荐
Breeze的博客
03-20 1万+
CVE-2022-25636 netfilter内核提权 文章目录CVE-2022-25636 netfilter内核提权漏洞简介环境搭建漏洞原理漏洞发生点调用栈netfilter的使用以及触发漏洞利用泄露内核net_device结构体地址setxattr来UAF泄露kaslr二次UAF完成内核rop参考 漏洞简介 漏洞编号: CVE-2022-25636 漏洞产品: linux kernel - netfilter 影响版本: linux kernel 5.4 ~ 漏洞危害: netfilter 内核模块
CVE-2022-22965复现
lionwerson的博客
06-10 380
简介:在jdk 9+上运行的Spring MVC或Spring WebFlux application可能会导致RCE复现环境: 服务启动后,访问 即可看到一个演示页面。poc:使用方法:-t 输入目标地址,-c输入执行命令,默认为id
Fastjson RCE漏洞利用与防护手段
不忘初心,护天下安全!
07-12 696
Fastjson是Alibaba开发的Java语言编写的高性能JSON库,用于将数据在JSONJava Object之间互相转换,提供两个主要接口JSON.toJSONString和JSON.parseObject/JSON.parse来分别实现序列化和反序列化操作。项目地址:https://link.zhihu.com/?target=https%3A//github.com/alibaba/fastjson随着该框架的使用,安全人员发现了一系列反序列化漏洞,每一次都是IT界的“地震”。漏洞合集见:Fa
新增影响版本!Fortinet 更新CVE-2022-42475漏洞应对方案
Fortinet_CHINA的博客
12-15 1322
漏洞应对方案
fastjson1.2.24rce漏洞复现
06-06
fastjson1.2.24rce漏洞是一种Java反序列化漏洞,攻击者可以通过构造恶意的JSON数据包,触发目标服务器上的fastjson库反序列化漏洞,从而实现远程代码执行。该漏洞存在于fastjson 1.2.24及之前版本,已经被修复。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值