fastjson 1.2.74版本发布,fastjson反序列化漏洞升级

最新推荐文章于 2025-04-17 15:32:06 发布
原创 最新推荐文章于 2025-04-17 15:32:06 发布 · 6.8k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#fastjson #反序列化漏洞 #spring cloud #matecloud #spring mvc

fastjson 1.2.74版本发布,针对之前版本的反序列化漏洞进行了修复,包括影响版本fastjson <=1.2.68和sec版本 <= sec9。建议用户升级到最新版本以确保安全性。更新内容还包括修复了序列化时的过滤器异常、类型转换问题、Jdk8日期格式化支持以及泛型和JSONValidator的错误。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

更新说明

fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
但在安全方面fastjson总是被曝出存在反序列化安全漏洞,会造成会服务器的攻击,风险极大。
在这里插入图片描述

影响版本

fastjson <=1.2.68
fastjson sec版本 <= sec9
android版本不受此漏洞影响

解决办法

升级至最新版本1.2.74

<dependency>
    <groupId>com.alibaba</groupId
最低0.47元/天 解锁文章
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
03-02
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
fastjson1.2.74版本发布fastjson版本存在反序列化漏洞升级
yukuleshui的博客
07-06 1694
介绍说明 fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。最为第三方库在项目中会使用,提供了方便。 但在安全方面fastjson总是被曝出存在反序列化安全漏洞,会造成会服务器的攻击,风险极大。 影响版本 fastjson <=1.2.68 fastjson sec版本 <= sec9 android版本不受此漏洞影响 解决办法 升级至最新版本1.2.74 <de
Fastjson反序列化
最新发布
一个热衷于网络安全的技术宅,这里记录我的学习轨迹、漏洞分析、CTF复盘和一些偏门技巧。 偶尔翻翻协议,常常调调漏洞,目标是在0和1之间找到属于自己的战斗力。
04-17 1188
JSON是一种轻量级的数据交换格式.它使用键值对(key-value)的结构表示数据,易于人阅读和编写,也易于机器解析和生成。虽然起源于 JavaScript,但现在已经成为编程语言之间通信的通用格式,比如在前后端之间传输数据、配置文件、接口请求等场景中广泛使用。
fastjson爆出重大漏洞,攻击者可使整个业务瘫痪
Hadoop技术博文
09-08 6230
报告编号:B6-2019-090501报告来源:360-CERT报告作者:360-CERT更新日期:2019-09-050x00 漏洞背景2019年9月5日,360CER...
fastjson反序列化
walton的博客
11-06 1694
对于maven工程,要将json数据反序列化需要个步骤: 1、添加fastjson的依赖 com.alibaba fastjson 1.2.39 2、安装GsonFormat插件(以下是IntelliJ Idea安装GsonFormat,其它ide的可以自行百度怎么安装插件) file--》settings--》Plugins,在搜索框中输入Gson
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
然而,Fastjson 1.2.69 版本存在一个严重的反序列化远程代码执行漏洞,这使得攻击者有可能通过精心构造的输入数据,绕过防御机制,执行任意远程代码,对服务器的安全构成重大威胁。 **漏洞原理** Fastjson 在处理 ...
fastjson-1.2.83 针对近期阿里fastjson漏洞升级解决
05-24
Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全
Fastjson版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson反序列化漏洞为例 1、此时/tmp目录 ![img]...
FastJson反序列化
06-17
[{"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}, {"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}] 数组里面封装数组的反序列化方法,通过两个bean,进行封装
fastjson反序列化 CVE-2017-18349
zkaqlaoniao的博客
12-19 307
fastjson中,在反序列化的时候 jdk中 的 jdbcRowSetImpl 类一定会被执行,我们给此类中的 setDataSourcesName 输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞。序列化 String json_ser = "{"@type":"com.company.Student","name":"jack"}";序列化 String json_ser2 = "{"name":"jack"}";
fastjson1.2.83反序列化漏洞
08-18
对于fastjson 1.2.83版本反序列化漏洞,它是一种远程代码执行漏洞,可导致攻击者执行任意代码。该漏洞存在于fastjson的TypeUtils类中,攻击者可以通过构造特定的JSON串来触发漏洞。具体来说,当JSON串中包含恶意类...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值