【笔记】fastjson低版本高危漏洞预警

已于 2022-07-07 14:48:21 修改
阅读量883 收藏
点赞数 1
分类专栏: 开发测试流程 安全测试 文章标签: maven java 安全
于 2022-06-06 10:15:38 首次发布
原文链接:https://github.com/alibaba/fastjson/issues
版权

安全漏洞笔记-Fastjson高危漏洞预警

  1. 影响
    Fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险
    漏洞影响版本: Fastjson ≤ 1.2.80

  2. 人工检测方法:
    • Maven:排查pom.xml,通过搜索Fastjson确定版本号
    • 其他项目通过搜索jar文件确定Fastjson版本号:lsof | grep fastjson

目前官方已在最新版本1.2.83中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:https://github.com/alibaba/fastjson/releases

*****升级步骤如下:

  1. 备份原fastjson依赖库,避免升级失败的情况发生。
  2. 将低版本的fastjson库替换为2.83版本即可

开发人员可通过配置Maven的方式对应用进行升级并编译发布,配置如下:

com.alibaba
fastjson
1.2.83

注:该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,若遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。

坚强的丸子
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fastjson-1.2.83.jar下载
04-18
fastjson-1.2.83.jar下载,fastjson是阿里巴巴的开源JSON解析库,可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也支持从JSON字符串反序列化到JavaBean。fastjson采用全新的JSON解析算法,运行速度极快,超过所有其他同类的JSON库。 fastjson的主要功能有: 1. 速度快:fastjson采用内置的字符解析算法,超过同类其他解析库速度。 2. 支持普通JSON和JavaScript JSON标准:fastjson支持所有JSON标准语法,同时支持JavaScript混入的语法,如 NaN、Infinity、undefined 等。 3. 支持Java Bean:fastjson可以将JSON字符串转换成Java Bean,也可以将Java Bean转换成JSON字符串。 4. 支持泛型:fastjson支持泛型类型的解析和序列化。 5. 支持JSONPath:fastjson支持JSONPath表达式查询。 6. 支持注解:fastjson支持多种注解配置JSON序列化和反序列化。 7. 支持携带格式:f
2024年Fastjson开启安全模式5种方法(VIP典藏版)(1),2024年最新网络安全开发热门前沿知识
05-10 1228
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
fastjson1.2.83时间处理的bug
bob71的博客
07-11 2353
fastjson1.2.83发现一个bug:如果一个JSONObject有一个Date值,经过toJSONString()后会变成一个long值,再经过JSONObject.parseArray后得到的时间就不对了。
FastJson中AutoType反序列化漏洞
最新发布
Innocence_0的博客
05-27 380
Fastjson
Fastjson高危漏洞!附解决方法(实战)
langshen1314的专栏
06-17 705
Fastjson
fastjson1.2.83反序列化漏洞
Coder的博客
07-13 6636
【代码】fastjson1.2.83反序列化漏洞
Fastjson反序列化远程代码执行漏洞
m0_56033865的博客
06-15 4470
据国家网络与信息安全信息通报中心监测发现,开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。先贴一个解决漏洞的方案: 不过任何升级一定会伴随或大或小的bug,一定要对业务的影响做评估。下面对漏洞原理进行介绍: fastjson 是阿里巴巴开发的 java语言编写的高性能 JSON 库,用于将数据在 Json 和 Java Object之间相互转换。它没有用java的序列化机制,而是自
Fastjson1.2.83 任意代码执行漏洞(CVE-2022-25845)
北方的孤夜
12-14 2541
如何开启 fastjson safemode
建议将com.alibaba:fastjson升级至1.2.83
热门推荐
闫玉林的博客
02-25 1万+
【代码】存在安全漏洞,建议将com.alibaba:fastjson升级至1.2.83
高版本的fastjson-1.2.71解决安全漏洞.rar
04-14
然而,随着广泛使用,Fastjson在早期版本中出现了一些安全漏洞,这些漏洞可能导致远程代码执行(RCE)和其他安全风险。在标题提到的“高版本的fastjson-1.2.71解决安全漏洞”中,我们主要关注的是Fastjson如何通过...
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
1.2.47版本及其以下,Fastjson存在一个严重的远程代码执行(Remote Code Execution,RCE)漏洞,使得恶意用户有可能通过精心构造的数据输入,执行任意的系统命令,对系统的安全性构成严重威胁。 ## 漏洞背景与...
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson反序列化漏洞为例 1、此时/tmp目录 ![img]...
fastjson各版本jar包以及使用方法
07-19
Fastjson曾因某些版本存在安全漏洞而被关注,因此在使用过程中应保持版本更新,及时修复可能的安全风险。此外,避免在不安全的环境中使用`parseObject()`方法,防止恶意输入导致代码执行。 总之,Fastjson作为一款...
fastjson 各个 版本 jar
03-25
fastjson-1.1.35.jar ,fastjson-1.1.36.jar ,fastjson-1.1.37.jar ,fastjson-1.1.44.jar ,fastjson-1.2.3.jar,fastjson-1.2.4.jar
Fastjson-1.2.83,时间转换少12小时避雷
A00112A的博客
08-16 372
到处找都没有找到原因 2023-08-15T13:14:15.789,使用了jsonArray.toJavaList(XXX.class)将JSONArray转换为了一个List,后面再将List转为JSONArray时,少了12小时,变成了2023-08-15 01:14:15.789。搜索了各平台都没有找到原因,也试了升级fastjson的版本,无解。也试了重写序列化和反序列化的类,都没用。这里不是时区问题,因为2023-08-15T08:14:15.789这种不超过12点的时间就是正常的。
com.alibaba.fastjson.JSONException: write javaBean error, fastjson version 1.2.83, class XXX fieldNa
Little Feel的博客
03-01 5722
问题:但是报com.alibaba.fastjson.JSONException: write javaBean error, fastjson version 1.2.83, class XXX fieldName 0 错误,通过了解是每一个entity中若是有null字段存在,就会转换异常,看报错日志以为是fastjson等错误,其实不是。在 JSONObject.toJSONString()方法加上参数SerializerFeature.IgnoreNonFieldGetter解决。
fastjson下载地址:含历史版本和最新版本
屿汐学长的博客
05-18 1万+
fastjson下载地址:含历史版本和最新版本 地址:https://github.com/alibaba/fastjson/releases 如图:
一起读源码 —— Fastjson 的核心方法及其实现原理
Smileyan's blog
04-14 5719
fastjson源码阅读
fastjson反序列化漏洞影响版本
08-24
fastjson反序列化漏洞影响的版本包括最新版本及之前的版本。具体来说,根据引用中提供的参考资料,可以通过升级Fastjson到最新版本来解决该漏洞。因此,早期的Fastjson版本存在反序列化漏洞。无法确定具体的版本范围,所以建议始终使用最新的Fastjson版本以确保安全性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Fastjson反序列化漏洞分析](https://blog.csdn.net/yaofeiNO1/article/details/76377080)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [Fastjson反序列化漏洞史1](https://download.csdn.net/download/weixin_35733151/86293375)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值