Fastjson 反序列化任意代码执行漏洞修复

最新推荐文章于 2025-04-17 15:32:06 发布
最新推荐文章于 2025-04-17 15:32:06 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 实战秘籍 文章标签: 系统安全 安全 fastjson
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/bigwood99/article/details/125720521
版权
腾讯云主机安全扫描发现Fastjson存在反序列化任意代码执行漏洞,CVE编号pcmgr-345005。Fastjson团队在2022-05-23披露该漏洞,影响1.2.80及以下版本。解决方案包括升级至v2或1.2.83并启用safeMode。选择在1.2.83版本上设置safeMode,通过JVM启动参数`--fastjson.parser.safeMode=true`修复问题,重新扫描后漏洞已消除。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

腾讯云主机安全扫描报告,有几台主机存在“Fastjson 反序列化任意代码执行漏洞”。

安全报告漏洞信息如下:

CVE编号
pcmgr-345005
披露时间
2022-05-23
漏洞描述
Fastjson是一个Java语言编写的高性能功能完善的JSON库。由于其简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。
Fastjson Develop Team 于2022年5月23日披露 fastjson 1.2.80及以下版本存在新的反序列化漏洞风险,该利用在特定条件下可绕过默认autoType关闭限制,导致任意代码执行,攻击远程服务器,风险影响较大,建议fastjson用户尽快采取安全措施保障系统安全。

检查服务器Fastjson版本为1.

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Fastjson反序列化远程代码执行漏洞及其风险分析
SaRust的博客
09-18 242
漏洞的原理是在Fastjson反序列化过程中,攻击者可以构造一个特制的JSON字符串,其中包含恶意代码。通过更新Fastjson版本、实施输入验证和过滤、限制反序列化范围、应用程序隔离以及实施安全审计和监测,DevOps团队可以降低潜在攻击的风险,并确保应用程序的安全性。可以使用Fastjson提供的配置选项来限制反序列化的范围,仅允许信任的类进行反序列化。更新Fastjson版本:Fastjson团队已经修复了许多安全漏洞,因此确保使用最新版本的Fastjson库以减少风险。字段指定了一个恶意类。
fastjson 1.2.24 反序列化导致任意命令执行漏洞
weixin_62117955的博客
06-03 1247
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。注:该漏洞可以反弹shell,方法与命令执行一样,构造的payload也与命令执行的一样,这里就不展示了。应用程序,用于接收和处理客户端的远程方法调用请求,实现分布式系统中的远程通信和方法调用。
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
03-02
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
fastJson≤1.2.80漏洞修复
Champion-Dai
06-15 4291
Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType关闭限制,从而反序列化安全风险的类,在特定条件下这可能导致远程代码执行。高危、任意命令执行。Fastjson ≤1.2.80以下三种修复方案根据业务选择任一合适方案即可:方案一、建议升级到最新版本1.2.83。参考链接:https://github.com/alibaba/fastjson/releases/tag/1.2.83方案二、safeMode加固:Fastjson在1.2.6
Fastjson反序列化
最新发布
一个热衷于网络安全的技术宅,这里记录我的学习轨迹、漏洞分析、CTF复盘和一些偏门技巧。 偶尔翻翻协议,常常调调漏洞,目标是在0和1之间找到属于自己的战斗力。
04-17 989
JSON是一种轻量级的数据交换格式.它使用键值对(key-value)的结构表示数据,易于人阅读和编写,也易于机器解析和生成。虽然起源于 JavaScript,但现在已经成为编程语言之间通信的通用格式,比如在前后端之间传输数据、配置文件、接口请求等场景中广泛使用。
fastjson <= 1.2.80 反序列化任意代码执行漏洞
qq_18209847的博客
05-24 4694
fastjson <= 1.2.80 反序列化任意代码执行漏洞
fastjson漏洞--以运维角度进行修复
菜鸟运维升级之路
09-11 1186
漏洞是三个月前由安全团队扫描出来的,主要影响是: FastJSON是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点,应用范围广泛。FastJSON 存在反序列化远程代码执行漏洞漏洞成因是Fastjson autoType开关的限制可被绕过,然后反序列化安全风险的类。攻击者利用该漏洞可实现在目标机器上的远程代码执行。本文主要从运维侧修复手段介绍了该漏洞的两种修复方式。
Fastjson官方再次披露高危漏洞,包括rocketmq、jeecg-boot等近15%的github开源项目受影响
murphysec的博客
05-23 3054
2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,可能会导致远程服务器被攻击,风险影响较大。建议使用了 fastjson 的用户尽快采取安全措施保障系统安全Fastjson 是Java语言实现的快速JSON解析和生成器。 fastjson 使用黑白名单用于防御反序列化漏洞,1.2.80及以下版本在特定条件下可绕过默认autoType关闭限制,攻击远程服务器。 攻击者可利用该漏洞远程执行恶意代码。 漏洞评级:严重
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
**Fastjson 1.2.69 反序列化远程代码执行漏洞详解** Fastjson 是阿里巴巴开源的一个高性能的 JSON 库,广泛应用于 Java 开发中,用于 JSON 的序列化和反序列化操作。然而,Fastjson 1.2.69 版本存在一个严重的反序...
fastjson反序列化任意代码执行漏洞
02-08
### Fast 反序列化导致的任意代码执行漏洞 Fast 反序列化过程中如果存在安全缺陷,可能导致攻击者在未经身份验证的情况下通过网络发送特制的数据流来触发反序列化过程中的对象实例创建或方法调用,从而实现远程代码...
Fastjson反序列化漏洞复现
m0_46371267的博客
09-29 1457
Fastjson反序列化漏洞复现
fastjson1.2.83反序列化漏洞
Coder的博客
07-13 1万+
【代码】fastjson1.2.83反序列化漏洞
fastjson漏洞修复:开启safeMode来禁用autoType
沛哥儿的专栏
05-26 8747
Fastjson官方再次披露严重漏洞,包括rocketmq、jeecg-boot等近15%的github开源项目受影响 2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认autoType关闭限制,可能会导致远程服务器被攻击,风险影响较大。
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-12 4万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理、漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆级教程,还望大家多多支持。
Fastjson漏洞修复参考
煜铭2011
06-20 7219
Fastjson漏洞修复参考 1. 漏洞背景 ​ Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 Fastjson多处补丁修补出现纰漏,Fastjson在1.2.68版本以下,无需Autotype开启,或者可绕过autoType限制,攻击者即可通过精心构造的请求包在使用Fastjson的服务器上进行远程代码执行。 受影响的版本: fastjson <=1.2.68 fas
Fastjson 被曝高危漏洞!附解决方法
JAVA葵花宝典
05-30 4633
来源:安全客https://www.anquanke.com/post/id/2070290x01 漏洞背景202005月28日, 360CERT监测发现业内安全厂商发布了Fastj...
Fastjson又又又曝反序列化漏洞(附修复建议)
Java笔记虾
05-29 879
点击关注公众号,利用碎片时间学习近日,Fastjson Develop Team 发布修复Fastjson 1.2.80 及之前版本存在的安全风险,该安全风险可能导致反序列化漏洞漏洞描述Fastjson 是阿里巴巴开源的 Java 对象和 JSON 格式字符串的快速转换的工具库。Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御...
fastjson最新版本_06.01 | fastjson两连发:修复高危安全漏洞
weixin_39633134的博客
11-28 523
尊敬的腾讯云用户,您好!近日,腾讯云安全运营中心监测到,Fastjson <=1.2.68版本存在远程代码执行漏洞漏洞被利用可直接获取服务器权限。为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON...
FastJson 漏洞复现
来日可期的博客
09-11 3093
FastJson 1.2.24 反序列化导致任意命令执行漏洞Fastjson 1.2.47 远程命令执行漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

乐大师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值