请选择
进入手机版
|
继续访问电脑版
用户登录
免费注册
设为首页
加入收藏
中国红客联盟 - 08安全团队组建
本版
用户
全站首页
社区首页
关于本站
邮箱系统
反诈中心
我的家园
排行榜
倡导绿色健康网络
关于我们
致—红盟会员
核心人员
发展历程
登录邮箱
申请邮箱
技术问答
Web文章
Web漏洞
图书馆
在线视频
反诈中心
Windows
Linux/MAC
无线与网络
移动终端
资源分享
逆向破解
杀毒软件
浏览器
病毒样本
最新资讯
八卦水库
本站公告
职位申请
投诉举报
中国红客联盟 - 08安全团队组建
»
社区首页
›
技术攻防
›
漏洞情报
›
Fastjson 远程代码执行漏洞安全风险通告
返回列表
查看:
6326
|
回复:
0
Fastjson 远程代码执行漏洞安全风险通告
[复制链接]
匿名
匿名
发表于 2022-5-24 13:19:52
|
阅读模式
近日,红客联盟监测到 Fastjson 远程代码执行漏洞,在 Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType 关闭限制,从而反序列化有安全风险的类。在特定条件下这可能导致远程代码执行。鉴于该漏洞影响范围极大,建议客户尽快做好自查及防护。
漏洞名称
Fastjson
远程代码执行漏洞
公开时间
2022-05-23
更新时间
2022-05-23
CVE
编号
暂无
其他编号
QVD-2022-7654
威胁类型
代码执行
技术类型
不可信数据的反序列化
厂商
Alibaba
产品
Fastjson
风险等级
风险评级
风险等级
高危
蓝色(一般事件)
现时威胁状态
POC
状态
EXP
状态
在野利用状态
技术细节状态
未发现
未发现
未发现
未公开
漏洞描述
Fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON字符串,也可以从 JSON 字符串反序列化到 JavaBean。
在 Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType 关闭限制,从而反序列化有安全风险的类。
影响版本
Fastjson <= 1.2.80
不受影响版本
Fastjson 1.x >= 1.2.83
Fastjson 2.x
其他受影响组件
依赖Fastjson的组件
1、版本升级
目前Fastjson已发布修复版本,用户可升级至最新版本 Fastjson 1.2.83:
https://github.com/alibaba/Fastjson/releases/tag/1.2.83
Fastjson 2的AutoType没有内置白名单,必须显式打开才能使用。故用户可以升级至 Fastjson v2 版本:
https://github.com/alibaba/Fastjson2/releases
2、缓解措施
在Fastjson 1.2.68 版本及之后的版本可通过开启safeMode 功能来关闭autoType功能从而杜绝反序列化 Gadgets 类变种攻击。
开启方法请参见:
https://github.com/alibaba/Fastjson/wiki/Fastjson_safemode
需要注意的是开启该功能后,将不支持autoType,可能会对业务产生影响。
Fastjson漏洞
回复
使用道具
举报
返回列表
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
注册
本版积分规则
发表回复
回帖后跳转到最后一页
快速回复
返回顶部
返回列表