Fastjson <=1.2.47反序列化RCE漏洞(CNVD‐2019‐22238)
一、漏洞描述
Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列 化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其 次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件 开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流 程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也 就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本 中,利用其缓存机制可实现对未开启autotype功能的绕过。
二、影响版本
Fastjson1.2.47以及之前的所有版本
三、环境搭建
vulhub靶场,进入fastjson漏洞环境目录下,执行
cd 1.2.47‐rce/ docker‐compose up ‐d
四、漏洞检测
手动检测:
{"a":