fastjson 1.2.74版本发布,fastjson反序列化漏洞升级

最新推荐文章于 2025-10-24 16:01:34 发布
原创 最新推荐文章于 2025-10-24 16:01:34 发布 · 6.9k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#fastjson #反序列化漏洞 #spring cloud #matecloud #spring mvc

fastjson 1.2.74版本发布,针对之前版本的反序列化漏洞进行了修复,包括影响版本fastjson <=1.2.68和sec版本 <= sec9。建议用户升级到最新版本以确保安全性。更新内容还包括修复了序列化时的过滤器异常、类型转换问题、Jdk8日期格式化支持以及泛型和JSONValidator的错误。

更新说明

fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
但在安全方面fastjson总是被曝出存在反序列化安全漏洞,会造成会服务器的攻击,风险极大。
在这里插入图片描述

影响版本

fastjson <=1.2.68
fastjson sec版本 <= sec9
android版本不受此漏洞影响

解决办法

升级至最新版本1.2.74

<dependency>
    <groupId>com.alibaba</groupId>
最低0.47元/天 解锁文章
FastJson反序列化
Finlinlts的博客
08-30 3943
Fastjson允许用户在输入JSON串时通过“@type”键对应的value指定任意反序列化类名。Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本中,利用
fastjson1.2.83反序列化漏洞
热门推荐
Coder的博客
07-13 1万+
【代码】fastjson1.2.83反序列化漏洞
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
03-02
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
fastjson版本漏洞深度剖析
最新发布
从零开始,掌握网络安全。提供全面的网络安全教程、攻防演练技巧和行业动态。
10-24 808
摘要:Fastjson作为Java常用JSON解析库,因反序列化机制缺陷频发高危漏洞。核心漏洞包括RCE(如1.2.24版本通过@type绕过黑名单)、DoS(畸形JSON导致OOM)和依赖库滥用(如xbean的JNDI注入)。攻击技术涉及AutoType绕过(缓存污染、前后缀构造)和JNDI链利用。防御需升级1.2.83+、启用安全模式、配置黑名单及流量监控。典型攻击案例显示金融和电商行业需结合OAuth2、RASP等防护。未来威胁含AI生成多态payload和供应链攻击,建议采用联邦学习检测和零信任架
fastjson1.2.74版本发布fastjson版本存在反序列化漏洞升级
yukuleshui的博客
07-06 1789
介绍说明 fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。最为第三方库在项目中会使用,提供了方便。 但在安全方面fastjson总是被曝出存在反序列化安全漏洞,会造成会服务器的攻击,风险极大。 影响版本 fastjson <=1.2.68 fastjson sec版本 <= sec9 android版本不受此漏洞影响 解决办法 升级至最新版本1.2.74 <de
fastjson爆出重大漏洞,攻击者可使整个业务瘫痪
Hadoop技术博文
09-08 6290
报告编号:B6-2019-090501报告来源:360-CERT报告作者:360-CERT更新日期:2019-09-050x00 漏洞背景2019年9月5日,360CER...
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
然而,Fastjson 1.2.69 版本存在一个严重的反序列化远程代码执行漏洞,这使得攻击者有可能通过精心构造的输入数据,绕过防御机制,执行任意远程代码,对服务器的安全构成重大威胁。 **漏洞原理** Fastjson 在处理 ...
fastjson-1.2.83 针对近期阿里fastjson漏洞升级解决
05-24
Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全
fastjson反序列化
walton的博客
11-06 1717
对于maven工程,要将json数据反序列化需要个步骤: 1、添加fastjson的依赖 com.alibaba fastjson 1.2.39 2、安装GsonFormat插件(以下是IntelliJ Idea安装GsonFormat,其它ide的可以自行百度怎么安装插件) file--》settings--》Plugins,在搜索框中输入Gson
Fastjson反序列化
Thewei666的博客
10-04 1639
Fastjson反序列化一共有三条利用链反序列化核心反序列化是通过字符串或字节流,利用Java的反射机制重构一个对象。
fastjson反序列化 CVE-2017-18349
zkaqlaoniao的博客
12-19 411
fastjson中,在反序列化的时候 jdk中 的 jdbcRowSetImpl 类一定会被执行,我们给此类中的 setDataSourcesName 输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞。序列化 String json_ser = "{"@type":"com.company.Student","name":"jack"}";序列化 String json_ser2 = "{"name":"jack"}";
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值