fastjson之CVE-2022-25845漏洞

最新推荐文章于 2025-04-09 10:00:00 发布
最新推荐文章于 2025-04-09 10:00:00 发布
阅读量663 收藏 5
点赞数 2
文章标签: java json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43681072/article/details/143500326
版权

fastjson之CVE-2022-25845漏洞

最近,在使用IDEA开发的时候遇到了一个关于fastjson库的警告——CVE-2022-25845。该漏洞目前在1.2.83版本后已经修复,因此使用该版本以上的依赖,IDEA是不会出现这个情况的。

漏洞复现参考:https://jfrog.com/blog/cve-2022-25845-analyzing-the-fastjson-auto-type-bypass-rce-vulnerability/

发现警告

在使用1.2.83版本的fastjson时,IDEA出现如下警告:

Vulnerable API usage 
CVE-2022-25845 9.8 Deserialization of Untrusted Data vulnerability with High severity found
CVE-2022-25845 9.8 Deserialization of Untrusted Data vulnerability with High severity found
Results powered by Checkmarx(c)

大意为:使用了易受攻击的API,CVE-2022-25845为漏洞版本号,该依赖这个警告信息是通过安全扫描工具如Checkmarx检测出来的。

原因

CVE-2022-25845是一个关于“不信任数据的反序列化”的漏洞,其CVSS(通用漏洞评分系统)评分高达9.8,属于非常严重的级别。这个漏洞的根本原因在于fastjson在处理JSON数据反序列化时的实现缺陷。
具体漏洞详情见参考文件,在文章开头。

解决

解决方法

  1. 升级fastjson库
    最直接的解决方法是升级到修复了该漏洞的fastjson版本(1.2.83以上),更新项目中的pom.xml文件。
<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <!-- 替换为修复了CVE-2022-25845的版本号 -->
    <version>最新安全版本</version>
</dependency>
  1. 使用其他库
    如果项目允许,也可以考虑使用其他更安全的JSON处理库,如Jackson或Gson
  2. 安全配置
    如果无法立即升级,可以通过以下安全配置来减少风险:
  • 禁用autoType功能:通过设置ParserConfig.getGlobalInstance().setAutoTypeSupport(false);来禁用autoType。
  • 限制可以反序列化的类:通过配置白名单来限制可以反序列化的类。
  1. 输入验证
    对所有外部输入进行严格的验证,确保输入数据符合预期格式,并且不包含任何可能导致安全问题的内容。
CVE-2022-25845 fastjson java反序列化漏洞
mirocky的博客
12-21 1849
在前后端数据传输交互中,经常会遇到字符串(String)与json,XML等格式相互转换与解析,其中json以跨语言,跨前后端的优点在开发中被频繁使用,基本上可以说是标准的数据交换格式。fastjson 是一个java语言编写的高性能且功能完善的JSON库,它采用一种“假定有序快速匹配”的算法,把JSON Parse 的性能提升到了极致。它的接口简单易用,已经被广泛使用在缓存序列化,协议交互,Web输出等各种应用场景中。
CVE-2022-22965:Spring远程代码执行漏洞
m0_67403240的博客
06-02 147
本文仅为验证漏洞,在本地环境测试验证,无其它目的CVE-2022-22965Spring framework 是Spring 里面的一个基础开源框架,其目的是用于简化 Java 企业级应用的开发难度和开发周期,2022年3月31日,VMware Tanzu发布漏洞报告,Spring Framework存在远程代码执行漏洞,在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行 (RCE) 的攻击。高危进入靶场环境:【Vulhub}-
反序列化漏洞原理剖析:从攻击到防御
最新发布
分享web安全、AI安全、云安全、业务安全、渗透测试、安全开发、安全工具、行业动态等优质内容……
04-09 756
序列化(Serialization):指将对象(如程序中的数据结构、类实例等)转换为可存储或传输的格式(如JSON、XML、二进制流等)。例如,保存用户会话状态或传输数据时常用此技术。反序列化(Deserialization):将序列化后的数据还原为原始对象的过程。例如,服务器接收客户端发送的序列化数据后,需反序列化以恢复对象状态。反序列化漏洞的本质是程序对“数据还原为对象”这一过程缺乏安全控制。
Fastjson漏洞CVE-2022-25845
GalaxySpaceX的博客
06-17 2439
Fastjson漏洞CVE-2022-25845
Fastjson 代码执行 CVE-2022-25845
蚁景网安学院
07-21 4887
Fastjson 代码执行漏洞,该漏洞允许攻击者绕过 Fastjson 中的&quot;AutoTypeCheck&quot;机制并实现远程代码执行。整个漏洞的分析花了很多时间,来来回回加断点调试了很久,对这个漏洞做一个自己的总结......
Fastjson < 1.2.83 任意代码执行漏洞(CVE-2022-25845)
北方的孤夜
12-14 6584
如何开启 fastjson safemode
CVE-2022-25845 反序列化漏洞分析
把梦想放飞在蓝色的天空里...
09-20 8307
CVE-2022-25845 反序列化漏洞分析
CVE-2022-25845 复现
2201_75824562的博客
09-22 2317
Fastjson1.2.25版本里面,Java引入了checkAutoType()检查,会对加载的类进行白名单和黑名单检查。autoTypeSupport默认为False,此时只会验证白名单当autoTypeSupport开启时,先白名单过滤,匹配成功即可加载该类,否则再黑名单过滤开启AutoType的情况下有很多相关的绕过方式,可以自行查阅这篇文章主要讲一下如何绕过AutoTyoe默认禁用策略——CVE-2022-25845绕过AutoTyoe默认禁用策略漏洞的核心在于:只要。
Fastjson代码执行漏洞 [CVE-2022-25845].md
07-09
Fastjson代码执行漏洞 [CVE-2022-25845]
Fastjson 反序列化漏洞(CVE-2017-18349)
qq_68163788的博客
06-19 1098
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。
CVE-2022-22965:Spring远程代码执行漏洞复现
xjh8023的博客
11-09 567
CVE-2022-22965:Spring远程代码执行漏洞复现&getshell骚操作
CVE-2022-25845漏洞分析资料
xillianpeng的专栏
04-30 816
阿里云漏洞CVE-2022-25845 - Fastjson RCE vulnerability analysishttps://moonsec.top/articles/112security_update_20220523 · alibaba/fastjson Wiki · GitHub
Fastjson官方再次披露高危漏洞,包括rocketmq、jeecg-boot等近15%的github开源项目受影响
murphysec的博客
05-23 3051
2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,可能会导致远程服务器被攻击,风险影响较大。建议使用了 fastjson 的用户尽快采取安全措施保障系统安全。 FastjsonJava语言实现的快速JSON解析和生成器。 fastjson 使用黑白名单用于防御反序列化漏洞,1.2.80及以下版本在特定条件下可绕过默认autoType关闭限制,攻击远程服务器。 攻击者可利用该漏洞远程执行恶意代码。 漏洞评级:严重
Fastjson存在远程代码执行高危安全漏洞
安全学习之路
03-17 5907
Fastjson安全漏洞通告
Fastjson 1.2.80 及以下版本反序列化漏洞(FastJson ≤1.2.80) rce
yggcwhat
05-04 2034
Fastjson 1.2.80 及以下版本反序列化漏洞(FastJson ≤1.2.80) rce
FastJson反序列化远程命令执行漏洞分析
moshao123的博客
03-17 914
FastJson反序列化漏洞分析 文章目录FastJson反序列化漏洞分析前言一、Fastjson的介绍二、简单使用1.引入库2.读入数据总结欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入
漏洞分析】Fastjson1.2.80版本RCE漏洞原理
olga5abl的博客
10-24 2877
通过研究v1.2.50和v1.2.68的绕过方式,主要是在ObjectDeserializer接口的子类JavaBeanDeserializer中存在expectClass非空的checkAutoType调用,这也是绕过的关键。这就是Fastjson中引入AutoType的原因,但是也正因为这个特性,因为功能设计之初在安全方面考虑不周,给后续的Fastjson使用者带来了无尽的痛苦。但是,Fastjson在序列化及反序列化的过程中,没有使用Java自带的序列化机制,而是自定义了一套机制。
热门Fastjson 中出现高危RCE漏洞
smellycat000的专栏
06-17 1343
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络安全研究员详述了最近修复的位于热门 Fastjson 库中的一个高危漏洞CVE-2022-25845),它可被用于执行远程代码。该漏洞和受支持的特性 “AutoType” 中的不受信任的反序列化有关。项目维护人员已于2022年5月23日在版本1.2.83中将其修复。JFrog 公司的研究员 Uriya Yavnie...
高风险组件漏洞及修复办法「持续补充更新」
背锅神童的博客
09-18 4462
漏洞漏洞修复、系统漏洞、权限提升漏洞、本地权限提升、注入漏洞、反序列化漏洞、身份认证绕过漏洞、远程代码执行漏洞、系列漏洞
vulhub靶场cve-2019-14234
09-19
综上所述,CVE-2019-14234是vulhub靶场中的一个Fastjson组件漏洞,可以被攻击者利用来执行任意的Java代码。修复这个漏洞的方法包括更新Fastjson组件、输入验证和过滤、安全审计和漏洞扫描以及加强网络安全意识教育。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值