您当前的位置:首页 > 电脑百科 > 安全防护 > 网络安全

高危!Fastjson反序列化漏洞风险

时间:2022-05-30 19:07:38  来源:  作者:zw源
高危!Fastjson反序列化漏洞风险

 

1、漏洞概述

近日,Fastjson Develop Team发布安全公告,修复了一个存在于Fastjson1.2.80及之前版本中的反序列化漏洞。

Fastjson是一个由JAVA语言编写的高性能JSON库,它采用名为“假定有序快速匹配”的算法将JSON Parse的性能提升到极致。由于Fastjson接口简单易用,目前已被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景中。

由于Fastjson基于autoType黑白名单对反序列化漏洞进行防御的安全机制存在缺陷,成功利用该缺陷可绕过autoType的防御机制,从而导致Fastjson将存在风险的类进行反序列化处理,以达到执行远程代码的目的。

2、受影响的版本

特定依赖存在下影响 ≤1.2.80

3、漏洞等级

风险评级:高危!

4、修复建议

1. 升级到新版本1.2.83,下载地址:

https://github.com/alibaba/fastjson/releases/tag/1.2.83

该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。)

 

5.开源字节低代码平台会受影响吗?该如何处理?

答:会的。因为我们也在使用Fastjson,且版本号是<fastjson.version>1.2.79</fastjson.version>,我们已经升级到最新版1.2.83,fork代码的同学可以pull最新的代码。或者手动修改一下父工程中的版本号,如下图所示:

高危!Fastjson反序列化漏洞风险

 

如若转载,请注明出处:开源字节
https://sourcebyte.cn/article/140.html



Tags:漏洞   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
1、漏洞概述近日,Fastjson Develop Team发布安全公告,修复了一个存在于Fastjson1.2.80及之前版本中的反序列化漏洞。Fastjson是一个由Java语言编写的高性能JSON库,它采用名为...【详细内容】
2022-05-30  Tags: 漏洞  点击:(0)  评论:(0)  加入收藏
2016年7.20号,国内最大的白帽子交流平台被迫关闭。在互联网世界,乌云网一直扮演着“守护者”角色,但乌云网模式自诞生起,就一直行走在灰色地带,因而备受争议。乌云网此次危机,正是...【详细内容】
2022-05-26  Tags: 漏洞  点击:(15)  评论:(0)  加入收藏
零基础学黑客领资料搜公众号:白帽子左一关于原型链在javascript中,继承的整个过程就称为该类的原型链。每个对象的都有一个指向他的原型(prototype)的内部链接,这个原型对象又...【详细内容】
2022-05-20  Tags: 漏洞  点击:(16)  评论:(0)  加入收藏
漏洞描述近日,亚信安全CERT监测发现OpenSSL存在多个高危漏洞,漏洞编号分别为CVE-2022-1292和CVE-2022-1473。 CVE-2022-1292为OpenSSL代码执行漏洞,漏洞源于c_rehash脚本没有正...【详细内容】
2022-05-18  Tags: 漏洞  点击:(80)  评论:(0)  加入收藏
背景知识本节内容描述了创建窗口时需要用到的结构体及函数: 用户态的窗口数据结构体:WNDCLASSEXW。 窗口数据保存在内核态时使用:tagWND和tagWNDK结构体。 用户态调用SetWindow...【详细内容】
2022-04-29  Tags: 漏洞  点击:(41)  评论:(0)  加入收藏
说起文件上传漏洞 ,可谓是印象深刻。有次公司的网站突然访问不到了,同事去服务器看了一下。所有 webroot 文件夹下的所有文件都被重命名成其他文件,比如 jsp 文件变成 jsp.s ,以...【详细内容】
2022-04-15  Tags: 漏洞  点击:(58)  评论:(0)  加入收藏
前言最近几天,关注的lijiejie大佬的GitHack项目提交了commit[1],Change Log写着Fix abitrary file write vulnerability。GitHack任意文件写入漏洞?这里让我们分析一下这个漏洞...【详细内容】
2022-04-13  Tags: 漏洞  点击:(59)  评论:(0)  加入收藏
前面介绍过利用工具去提权,而且比较理想化,就是已经有了管理员权限。这里介绍通过漏洞来进行提权,也不是所有漏洞都能用来进行提权,要找特定的漏洞。比如这里要使用的MS11-080,这...【详细内容】
2022-04-11  Tags: 漏洞  点击:(58)  评论:(0)  加入收藏
 4月7日最新消息:谷歌突然为 32 亿 Chrome 用户发布新的紧急安全更新,谷歌已敦促 Chrome 用户在发布另一个紧急安全修复程序时进行更新。这是你需要知道的。   一个多星期...【详细内容】
2022-04-08  Tags: 漏洞  点击:(78)  评论:(0)  加入收藏
Spring沦陷了!这样的标题这几天是不是看腻了?然而,仔细看看都是拿着之前的几个毫不相干的CVE来大吹特吹。所以,昨天发了一篇关于最近网传的Spring大漏洞的文章,聊了聊这些让人迷...【详细内容】
2022-04-02  Tags: 漏洞  点击:(88)  评论:(0)  加入收藏
▌简易百科推荐
1、漏洞概述近日,Fastjson Develop Team发布安全公告,修复了一个存在于Fastjson1.2.80及之前版本中的反序列化漏洞。Fastjson是一个由Java语言编写的高性能JSON库,它采用名为...【详细内容】
2022-05-30  zw源    Tags:漏洞   点击:(0)  评论:(0)  加入收藏
最近,我们遇到了一个对于企业来说非常典型的攻击场景,一名拥有管理员权限的开发者在启动云原生应用时,错误地用了一个较弱的凭证来进行配置。仅12个小时之后,该环境就受到了Dre...【详细内容】
2022-05-28  AquaSecurity    Tags:网络攻击   点击:(4)  评论:(0)  加入收藏
网络钓鱼一直是最常见的安全威胁之一,远程办公逐渐常态化的当下,利用疫情相关信息进行网络钓鱼的攻击事件常有发生,在特殊时期大家更需要提高警惕。那么钓鱼攻击都有哪些特征,如...【详细内容】
2022-05-24  华清信安    Tags:钓鱼攻击   点击:(11)  评论:(0)  加入收藏
随着科技的进步,随之而来的网络安全问题日益增加,前段消息称有中国网络遭境外攻击,被境外组织控制了一批计算机做一些违法的事。作为NAS用户上公网是很正常的事,因此也会面临威...【详细内容】
2022-05-18  QNAP威联通    Tags:NAS   点击:(63)  评论:(0)  加入收藏
远程操控是黑客的常用手段,这个东西很难规避。这种分享一种方法,起码增加点点安全性。我们先进入控制面板,点击下图框内选项。 接着我们点击下图框内选项。 我们点击下图框内...【详细内容】
2022-04-26  孙华贵    Tags:远程端口   点击:(35)  评论:(0)  加入收藏
Wifi 或无线网络消除了在整个家庭中铺设电缆以确保每个人都有互联网连接的需要。现在您可以在家中的任何地方访问 Internet,但问题是其他人也可以访问您的 Internet 连接。以...【详细内容】
2022-04-24  星创易联  搜狐号  Tags:WiFi 安全   点击:(37)  评论:(0)  加入收藏
一、概述2022年3月底,在网络安全监测中发现某网络攻击组织利用SSH爆破投放挖矿程序的活动比较活跃,主要涉及的是一个haiduc的工具。二、检测定位阶段工作说明2.1、异常现象确...【详细内容】
2022-04-07  IT野涵    Tags:SSH爆破   点击:(71)  评论:(0)  加入收藏
先来解释一下什么是后漏洞利用阶段。就是经过一系列简单或者复杂的操作后,你已经获取了目标机器当前的管理员权限,但是你这个管理员权限不一定一直会有效,说不定目标机器的主人...【详细内容】
2022-03-29  会测试的鲸鱼    Tags:漏洞   点击:(67)  评论:(0)  加入收藏
前言构建零信任网络,自然离不开网络准入(NAC),这就涉及到交换机的一些安全测试,于是有了此文《从交换机安全配置看常见局域网攻击》。交换机安全配置如本文标题所说从交换机安...【详细内容】
2022-03-25  KaliMa    Tags:局域网攻击   点击:(35)  评论:(0)  加入收藏
网络安全重要吗?当然,现代人的社交数据、健康数据、个人信息数据、支付数据全都在网络上。对于一家企业来说,没有网络安全专家,就相当于开餐厅没有厨师。到2027年,全球网络安全市...【详细内容】
2022-03-18  圣普伦数字技术培训    Tags:安全漏洞   点击:(61)  评论:(0)  加入收藏
站内最新
站内热门
站内头条