(安全)fastjson 版本漏洞升级提示

最新推荐文章于 2024-05-27 08:03:43 发布
最新推荐文章于 2024-05-27 08:03:43 发布
阅读量2k 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37267931/article/details/105186202
版权

fastjson 版本漏洞升级提示

 

漏洞情报:fastjson <1.2.67 反序列化远程代码执行漏洞

漏洞介绍:近日,阿里云应急响应中心监测到fastjson官方git披露fastjson存在最新反序列化远程代码执行漏洞攻击Gadgets,利用该最新的Gadgets,攻击者可远程执行服务器任意命令,或者造成SSRF漏洞,风险较大。官方已发布最新版本1.2.67修复该漏洞,请使用到fastjson的用户尽快升级至安全版本。

漏洞等级:高危

 

漏洞描述

常用JSON组件FastJson存在远程代码执行漏洞,攻击者可通过精心构建的json报文对目标服务器执行任意命令,从而获得服务器权限。此次爆发的漏洞为以往漏洞中autoType的绕过。

影响范围

FastJson < 1.2.67

 

漏洞描述

利用该0day漏洞,恶意攻击者可以构造攻击请求绕过FastJSON的黑名单策略。例如,攻击者通过精心构造的请求,远程让服务端执行指定命令(以下示例中成功运行计算器程序)。

 

升级方式:

1.使用maven方式管理jar包 找到项目中的pom文件中找到 fastjson.version标签 更换标签中版本号,重新打包,既可以升级。

2. 使用非maven方式管理的jar 在代码路径中WEB-INF/lib目录下 找到fastjson jar包 并做替换。

Johnson_Yue_WX
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
版本fastjson-1.2.71解决安全漏洞.rar
04-14
在标题提到的“高版本fastjson-1.2.71解决安全漏洞”中,我们主要关注的是Fastjson如何通过更新到1.2.71版本来修复这些已知的安全问题。 Fastjson安全漏洞通常涉及其自动类型识别机制。这个机制允许JSON字符串...
亲手带你解决Debug Fastjson安全漏洞
10-15
1. **保持更新**:及时关注Fastjson的官方更新,一旦发现安全公告,应立即升级到最新版本,以获取已修复的补丁。 2. **禁用自动类型识别**:在反序列化时,可以关闭Fastjson的自动类型识别功能,避免未知类型的反...
JAVA开发(Java类库fastjson
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
01-30 693
fastjson是阿里里巴巴开源的对实体或者JSON字符串进行各种转换的java类库。 需要引入的maven依赖,版本:1.2.83以上
2024年最全Alibaba Fastjson 入门详细教程_alibaba(2),2024年最新大厂Golang面试真题精选
2401_84910839的博客
05-14 710
FastJson 特性| fastjson相对其他JSON库的特点是快,从2011年fastjson发布1.1.x版本之后,其性能从未被其他Java实现的JSON库超越。| fastjson在阿里巴巴大规模使用,在数万台服务器上部署,fastjson在业界被广泛接受。在2012年被开源中国评选为最受欢迎的国产开源软件之一。| fastjson有非常多的testcase,在1.2.11版本中,testcase超过3321个。每次发布都会进行回归测试,保证质量稳定。
FastJson中AutoType反序列化漏洞
最新发布
Innocence_0的博客
05-27 402
Fastjson
初识Fastjson漏洞(环境搭建及漏洞复现)
u011250186的博客
05-25 3397
播报文章 合天网安实验室 2021-07-07 15:26 关注 目前网上的资源整理不是针对入门玩家,都需要一定的java漏洞调试基础,本文从一个简单的FastJson 漏洞开始,搭建漏洞环境,分析漏洞成因,使用条件等。从入门者的角度看懂并复现漏洞触发,拥有属于自己的一套漏洞调试环境。 0x01 Fastjson简介 Fastjson 是Alibaba的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可..
将项目中的阿里的fastjson版本升级到最新版本
Smilelfq的专栏
08-28 9264
百度: 点进去: 复制这段: <!-- https://mvnrepository.com/artifact/com.alibaba/fastjson --> <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjso...
Maven项目中添加依赖fastjson(将对象转为JSON格式)
wang_xiao_pan的博客
04-24 1134
【代码】Maven项目中添加依赖fastjson(将对象转为JSON格式)
fastjson-1.2.83 针对近期阿里fastjson漏洞升级解决
05-24
Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
fastjson漏洞环境
01-12
- **升级 Fastjson**:最有效的防护措施是尽快将 Fastjson 库更新到最新且安全版本。 - **禁用自动类型转换**:可以配置 Fastjson 禁用自动类型转换,以降低反序列化风险。 - **输入验证**:对所有传入的 JSON ...
各个版本fastJson_jar包最新版
10-17
各个版本fastJson_jar包最新版,方便各位学习,交流互用
fastjson最新版本jar包
07-21
fastjson最新版本jar包 fastjson-1.2.14.jar
fastjson爆出重大漏洞,攻击者可使整个业务瘫痪
01-07
2019年9月5日,360CERT监测到2019年9月3日fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中包含\x转义字符时可能引发OOM的问题的修复。 360CERT 判断该漏洞危害中。影响面较...
fastjson版本jar包以及使用方法
07-19
Fastjson曾因某些版本存在安全漏洞而被关注,因此在使用过程中应保持版本更新,及时修复可能的安全风险。此外,避免在不安全的环境中使用`parseObject()`方法,防止恶意输入导致代码执行。 总之,Fastjson作为一款...
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
总结,面对Fastjson 1.2.47远程代码执行漏洞,及时升级安全版本是首要任务,同时结合其他防御措施,可以大大提高系统的安全性。作为开发者,我们应该时刻保持警惕,不断学习和了解最新的安全威胁,以应对可能出现...
write javaBean error, fastjson version 1.2.47, class
热门推荐
johnhuster的专栏
08-18 4万+
笔者今天在使用fastjson序列化某个对象(传其他应用传回的数据)时出现了上面的错误提示: write javaBean error, fastjson version 1.2.47, class xxxx xxxx Caused by: java.lang.NullPointerException: null 最终发现是该类的某个get方法出现了空指针异常导致了上面的问题,这个就...
fastjson的这些坑,你误入了没?
一猿小讲
06-25 7121
背景:最近 fastjson 被爆出新的远程代码执行漏洞之后,赶紧督促项目组快马加鞭去修改(吐槽:真改不动,架不住项目既多又老),鉴于项目不同,依赖的 fastjson 版本也不同,本次...
fastjson使用过程中的坑
zgzczzw的专栏
05-16 2万+
最近在工作中用到了fastjson,遇到了一些坑,在这里总结一下。 简介 首先,介绍一下fastjsonfastjson是由alibaba开源的一套json处理器。与其他json处理器(如Gson,Jackson等)和其他的Java对象序列化反序列化方式相比,有比较明显的性能优势。详情可以参加fastjson提供的benchmark。 benchmark for fastjson f
fastjson1.2.24漏洞
09-08
Fastjson 1.2.24是一个存在远程代码执行漏洞版本。该漏洞利用了Fastjson在处理json对象时未对@type字段进行完全的安全性验证的问题。攻击者可以通过传入危险类并调用危险类连接远程rmi主机,从而执行恶意代码。通过这种方式,攻击者可以利用该漏洞获取服务器的敏感信息、进行数据修改、增加或删除等操作,对服务器造成严重影响。 需要注意的是,该漏洞只存在于Fastjson 1.2.24版本中,后续版本中已修复了该安全问题。如果您使用的是该版本,请尽快升级到最新版本以避免受到漏洞的影响。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值