Fastjson 1.2.80 及之前版本存在 Throwable 反序列化漏洞

admin 2022年5月24日00:57:30评论438 views字数 1087阅读3分37秒阅读模式

Fastjson 1.2.80 及之前版本存在 Throwable 反序列化漏洞

点击蓝字 关注我们

Fastjson 1.2.80 及之前版本存在 Throwable 反序列化漏洞


声明

本文作者:CKCsec安全研究院
本文字数:453

阅读时长:1 分钟

项目/链接:文末获取

本文属于【CKCsec安全研究院】原创文章,未经许可禁止转载

遵纪守法

任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益

漏洞描述

Fastjson 是阿里巴巴开源的 Java 对象和 JSON 格式字符串的快速转换的工具库。Fastjson Develop Team 发布修复了 Fastjson 1.2.80 及之前版本存在的安全风险,该安全风险可能导致反序列化漏洞。

资产确定

app="Fastjson"

影响范围

Fastjson <= 1.2.80

漏洞复现

目前暂未公开exp

修复建议

  • 官方修复方案

https://github.com/alibaba/fastjson/wiki/security_update_20220523

  • 升级版本

升级到最新版本1.2.83

https://github.com/alibaba/fastjson/releases/tag/1.2.83

  • safeMode 加固

Fastjson 在1.2.68及之后的版本中引入了 safeMode,配置 safeMode 后,无论白名单和黑名单,都不支持 autoType,可杜绝反序列化Gadgets类变种攻击(关闭 autoType 注意评估对业务的影响)

参考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode

  • 升级到 Fastjson v2

Fastjson v2地址 https://github.com/alibaba/fastjson2/releases

参考链接

https://github.com/alibaba/fastjson/wiki/security_update_20220523 https://github.com/alibaba/fastjson/releases/tag/1.2.83

另外关注公众号后台回复“框架RCE”可获取常见框架漏洞利用工具后台回复“0110”获取红队攻防内部手册。回复“apk11获取apk测试工具集。

下面就是团队的公众号啦,老铁来都来了点波关注叭!

上面教程仅供个人学习交流,旨在为网络安全发展贡献力量,切勿用于非法用途,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。

原文始发于微信公众号(CKCsec安全研究院):Fastjson 1.2.80 及之前版本存在 Throwable 反序列化漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月24日00:57:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Fastjson 1.2.80 及之前版本存在 Throwable 反序列化漏洞https://cn-sec.com/archives/1043332.html

发表评论

匿名网友 填写信息