![Fastjson 1.2.80 及之前版本存在 Throwable 反序列化漏洞]( "Fastjson 1.2.80 及之前版本存在 Throwable 反序列化漏洞")
点击蓝字 关注我们
![Fastjson 1.2.80 及之前版本存在 Throwable 反序列化漏洞]( "Fastjson 1.2.80 及之前版本存在 Throwable 反序列化漏洞")
点击蓝字 关注我们
声明
本文作者:CKCsec安全研究院
本文字数:453
阅读时长:1 分钟
项目/链接:文末获取
本文属于【CKCsec安全研究院】原创文章,未经许可禁止转载
声明
本文作者:CKCsec安全研究院
本文字数:453
阅读时长:1 分钟
项目/链接:文末获取
本文属于【CKCsec安全研究院】原创文章,未经许可禁止转载
遵纪守法
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益
漏洞描述
Fastjson 是阿里巴巴开源的 Java 对象和 JSON 格式字符串的快速转换的工具库。Fastjson Develop Team 发布修复了 Fastjson 1.2.80 及之前版本存在的安全风险,该安全风险可能导致反序列化漏洞。
资产确定
app="Fastjson"
影响范围
Fastjson <= 1.2.80
漏洞复现
目前暂未公开exp
修复建议
-
官方修复方案
https://github.com/alibaba/fastjson/wiki/security_update_20220523
-
升级版本
升级到最新版本1.2.83
https://github.com/alibaba/fastjson/releases/tag/1.2.83
-
safeMode 加固
Fastjson 在1.2.68及之后的版本中引入了 safeMode,配置 safeMode 后,无论白名单和黑名单,都不支持 autoType,可杜绝反序列化Gadgets类变种攻击(关闭 autoType 注意评估对业务的影响)
参考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode
-
升级到 Fastjson v2
Fastjson v2地址 https://github.com/alibaba/fastjson2/releases
参考链接
https://github.com/alibaba/fastjson/wiki/security_update_20220523 https://github.com/alibaba/fastjson/releases/tag/1.2.83
上面教程仅供个人学习交流,旨在为网络安全发展贡献力量,切勿用于非法用途,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。
原文始发于微信公众号(CKCsec安全研究院):Fastjson 1.2.80 及之前版本存在 Throwable 反序列化漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论