不安全的反序列化_漏洞预警 | Jackson 多个反序列化安全漏洞

最新推荐文章于 2024-05-13 09:54:26 发布
最新推荐文章于 2024-05-13 09:54:26 发布
阅读量237 收藏
点赞数
文章标签: 不安全的反序列化

0x00  漏洞编号

  • CVE-2020-24616

0x01 危险等级

  • 中危

0x02 漏洞概述

Fasterxml Jackson 是美国 Fasterxml 公司的一款适用于 Java 的数据处理工具。jackson-databind 是其中的一个具有数据绑定功能的组件。 Fasterxml jackson-databind 2.9.10.6之前的版本中存在安全漏洞,该漏洞源于进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷通过利用该漏洞在系统上执行任意代码。

e69d246505b83bcb3831a4dd2add28dd.png

0x03 漏洞详情

CVE-2020-24616

br.com.anteros:Anteros-DBCP 组件库进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷利用该漏洞在系统上执行任意代码。

issue:2827

org.arrahtec:profiler-core 组件库进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷利用该漏洞在系统上执行任意代码。

issue:2826

com.nqadmin.rowset:jdbcrowsetimpl 组件库进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷利用该漏洞在系统上执行任意代码。

issue:2798

com.pastdev.httpcomponents:configuration 组件库进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷该漏洞在系统上执行任意代码。

0x04 影响版本

  • jackson-databind < 2.9.10.6

0x05 修复建议

目前官方已发布漏洞修复版本,建议用户升级到2.9.10.6 或更高的版本:

https://github.com/FasterXML/jackson-databind/releases b2452a60d883dbd9b78cd8150fddf957.gif 1e41c4740914296401f743ae668fc105.gif f81f94df0f55cf14f212399535d2a202.png 1e41c4740914296401f743ae668fc105.gif
weixin_39814925
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
A08.软件和数据完整性故障-[不安全反序列化]-[PHP反序列化漏洞]最简概述
qwsn
12-24 2305
PHP反序列化漏洞 在理解这个漏洞前,你需要先搞清楚php中serialize(),unserialize()这两个函数。 1、序列化serialize() 序列化:序列化说通俗点就是把一个对象变成可以传输的字符串 比如下面是一个对象: class S{ public $test="pikachu"; } $s=new S(); //创建一个对象 serialize($s); //把这个对象进行序列化 序列化后得到的结果是这个样子的:O:1:"S"
安全反序列化_Apache Dubbo反序列化漏洞安全风险通告(CVE201917564)
weixin_39802132的博客
12-11 595
漏洞综述关于Apache DubboApache Dubbo 是一款高性能、轻量级的开源Java RPC框架,该框架在国内应用较为广泛,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。漏洞描述Apache Dubbo支持多种协议,官方推荐使用 Dubbo 协议,Apache Dubbo HTTP协议中存在反序列化漏洞(CVE-2019-17564...
【代码扫描修复】不安全反序列化攻击(高危)_java反序列化漏洞修复(1)
2401_84132565的博客
05-13 904
在运行时对用户控制的对象流进行反序列化,会让攻击者有机会在服务器上执行任意代码、滥用应用程序逻辑和/或导致。将内存对象转化为可以存储以及传输的二进制字节、xml、json、yaml 等格式。将虚化列存储的二进制字节、xml、json、yaml 等格式的信息重新还原转化为对象实例。数据格式序列化后的信息样例二进制在这里插入图片描述xmljsonyaml!/\*\*\* 白名单校验\*/super(in);@Override// 白名单校验if (!
jackson序列化问题
qq_45009980的博客
11-26 167
jackson
(十五)不安全反序列化
weixin_43047908的博客
04-18 2836
目录什么是序列化?序列化与反序列化什么是不安全反序列化?不安全反序列化漏洞如何产生?不安全反序列化有何影响?如何利用不安全反序列化漏洞如何识别不安全反序列化PHP序列化格式Java序列化格式操作序列化对象修改对象属性修改数据类型如何防止不安全反序列化漏洞 什么是序列化? 序列化是将复杂的数据结构(例如对象及其字段)转换为“更扁平”格式的过程,该格式可以作为顺序的字节流发送和接收。序列化数据使其更容易: 将复杂数据写入进程间内存,文件或数据库 例如,通过网络,在应用程序的不同组件之间或在API调用
反序列化漏洞汇总
热门推荐
weixin_29324013的博客
07-03 4万+
反序列化漏洞汇总1、概述序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java 序列化是指把 Java 对象转换为字节序列的过程,便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类...
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
最新发布
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
JAVA及Jackson反序列化漏洞.docx
07-27
以CVE-2020-10673为例,这是一个针对Jackson库的反序列化漏洞,它影响了Jackson 2.9.2版本。复现该漏洞通常涉及构造特定的JSON输入,利用Jackson反序列化时的弱点,触发恶意行为。在复现过程中,需要设置合适的环境...
Java反序列化漏洞介绍书籍
08-17
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在Java应用程序中。反序列化是将已序列化的对象数据转换回其原始对象状态的过程。当这个过程处理不当时,恶意用户可以利用这些漏洞来执行任意代码,从而导致...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Go-Go非常快非常不安全的序列化
08-13
Go非常快,非常不安全的序列化
安全反序列化
m0_60052233的博客
09-14 623
01 为什么要序列化 序列化,“将对象的状态信息转换为可以存储或传输的形式的过程”。在序列化期间内,将对象当前状态 写⼊到临时或永久性的存储区。以后,就可以通过从存储区中读取或还原(反序列化)对象的状态,重新创建该对象。 简单的说,序列化就是把⼀个对象变成可以传输的字符串,可以以特定的格式在进程之间跨平台安全的 进⾏通信。 02 PHP 中的序列化与反序列化 PHP 的反序列化漏洞也叫PHP 对象注⼊,是⼀个⾮常常⻅的漏洞,这种漏洞在某些场景下虽然有些...
web安全安全的反序列、命令执行漏洞解析
vivlol918的博客
05-15 1354
限制可执行命令的范围和使用权限。例如,限制可执行命令的用户、权限和执行路径等参数。
安全反序列化(php&java)及漏洞复现
weixin_58954236的博客
09-06 1472
class Stu{在unserialize文件夹下新建一个stu.class.php文件,将上述代码复制进去。class(关键字:类),stu是类名。
jack序列化问题
weixin_49066429的博客
08-06 137
springmvc Jackson序列化问题
【WEB安全】不安全反序列化
weixin_43025534的博客
05-23 1513
序列化和反序列化是指用于将对象或数据结构转换为字节流的过程,以便在不同系统之间进行传输或存储,并在需要时重新构造。**序列化是指将对象或数据结构转换为字节流的过程。**在序列化过程中,对象的状态和数据被转换为一系列字节,这些字节可以按照一定的协议进行传输或存储。序列化通常用于将对象存储到磁盘或通过网络发送到其他系统。序列化后的字节流可以被保存下来,以后可以通过反序列化操作重新构建对象并恢复其状态和数据。**反序列化是指将序列化后的字节流转换回对象或数据结构的过程。
网络安全反序列化漏洞
qq_52074678的博客
05-11 852
一·PHP类与对象 类Class 一个共享相同结构和行为的对象的集合 <?php class MyClass{ var $var1; var $var2 ="constant string"; function myfunc ($arg1,$arg2){ [......] } [....] } ?> 类的实例 $baidu = new Site; $kitty = new Cat; $benz = new Car; 二
Jackson反序列化代码执行漏洞
I want to know a little more.
06-09 2314
在我们的一次研究过程中,我们分析了一个使用Jackson库对JSON进行反序列化的应用程序。在分析过程中,我们寻找到一个反序列化漏洞,并可以对反序列化的类进行控制。在本文中,我们将向读者展示攻击者如何利用此反序列化漏洞来触发服务器端请求伪造(SSRF)和远程代码执行等攻击。 该研究催生了新的CVE-2019-12384生成,并影响到了一系列RedHat产品: 漏洞攻击条件 正如Jackson在On Jackson CVEs中写到的那样:下面是利用工具需要的要求: (1)应用程序接受由不受信任的客
Java与Jackson反序列化漏洞深度解析
"深入解析JAVA及Jackson反序列化漏洞" 本文主要探讨了Java和Jackson库的反序列化原理,以及相关的安全问题。Java反序列化是一个关键的编程概念,它允许将对象的状态转换为字节流,以便存储或在网络中传输,然后在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值