SecFox运维安全管理与审计系统FastJson反序列化漏洞

admin
admin
admin
138643
文章
114
评论
2025年1月2日17:30:56评论14 views字数 2629阅读8分45秒阅读模式
SecFox运维安全管理与审计系统FastJson反序列化漏洞

漏洞介绍

SecFox运维安全管理与审计系统FastJson反序列化漏洞

    在当今复杂多变的计算机环境中SecFox运维安全管理与审计系统在近期的一次安全检查中发现了一个FastJson反序列化漏洞。该漏洞源于FastJson库在解析json数据时,未对输入进行严格校验,导致攻击者可以通过构造特殊的json数据,实现远程代码执行。

SecFox运维安全管理与审计系统FastJson反序列化漏洞
SecFox运维安全管理与审计系统FastJson反序列化漏洞

漏洞复现

SecFox运维安全管理与审计系统FastJson反序列化漏洞
1.资源探测
fofa:body="./static/js/vendor.022b3d3adf3423f31f54.js"
2.漏洞复现
SecFox运维安全管理与审计系统FastJson反序列化漏洞
SecFox运维安全管理与审计系统FastJson反序列化漏洞

漏洞POC

SecFox运维安全管理与审计系统FastJson反序列化漏洞
POC以及复现过程已放到网盘,需要的自取!!!
SecFox运维安全管理与审计系统FastJson反序列化漏洞

最近1个月的漏洞复现文档

SecFox运维安全管理与审计系统FastJson反序列化漏洞
 有你需要的可以直接去圈子网盘下载: WordPress插件ElementorPageBuilder存在文件读取漏洞(CVE-2024-9935).docx  锁群管理系统存在任意后台管理泄露漏洞.docx  九思OA系统upload_l文件存在任意文件上传漏洞.docx  用友GRP-U8系统taskmanager_login存在SQL注入漏洞.docx  博斯外贸管理软件V6.0中的logined文件接口存在SQL注入漏洞.docx  博斯外贸管理软件V6.0中的loginednew文件接口存在SQL注入漏洞.docx  灵当CRM系统接口uploadfile文件上传漏洞.docx  灵当CRM系统接口getMyAmbassador存在SQL注入漏洞.docx  时空WMS-仓储精细化管理系统SaveCrash文件上传漏洞.docx  时空WMS-仓储精细化管理系统 ImageAdd 接口存在文件上传漏洞.docx  Zabbix存在SQL注入漏洞(CVE-2024-42327).docx  WordPress插件Tutor_LMS存在SQL注入漏洞(CVE-2024-10400).docx  WordPress插件FileUpload任意文件读取漏洞(CVE-2024-9047).docx  WordPress插件rtw_pdf_file任意文件读取漏洞.docx  中科网威anysec安全网关arping存在后台远程命令执行漏洞.docx  Yapi存在远程命令执行漏洞.docx  金和JC6协同管理平台oaplusrangedownloadfile存在文件下载漏洞.docx  北京友数CPAS审计管理系统V4 getCurserIfAllowLogin 接口存在SQL注入.docx  北京友数CPAS审计管理系统存在任意文件读取漏洞.docx  云连POS-ERP管理系统downloadFile存在任意文件读取漏洞.docx  云连POS-ERP管理系统ZksrService存在SQL注入漏洞.docx  协众OA系统接口checkLoginQrCode存在SQL注入漏洞.docx  Cloudlog系统接口request_form存在SQL注入漏洞.docx  国威HB1910数字程控电话交换机generate文件未授权命令执行漏洞.docx  JeecgBoot系统接口passwordChange任意用户密码重置漏洞.docx  泛微e-cology9系统接口FileDownloadLocation接口存在SQL注入漏洞.docx  泛微云桥e-Bridge系统checkMobile存在SQL注入漏洞.docx  泛微-云桥e-Bridge addTasteJsonp 接口存在SQL注入漏洞.docx  TOTOLINK远程代码执行漏洞(CVE-2024-51228).docx  蓝凌EKP系统接口sysFormMainDataInsystemWebservice存在任意文件读取漏洞.docx  神州数码DCN系统接口online_list存在任意文件读取漏洞.docx  杜特网上订单管理系统getUserImage存在SQL注入漏洞.docx  秒优科技-供应链管理系统doAction存在SQL注入漏洞.docx  昂捷CRM系统cwsupload任意文件读取漏洞.txt  昂捷CRM系统cwsuploadpicture任意文件读取漏洞.docx  圣乔ERP系统 downloadFile.action 存在任意文件读取漏洞.docx  用友U8-Cloud系统接口ReleaseRepMngAction存在SQL注入漏洞.docx  飞鱼星路由器存在敏感信息泄露漏洞.docx  上海汉塔上网行为管理系统存在远程命令执行漏洞.docx  Apache-Tomcat条件竞争致远程代码执行漏洞.docx  方正畅享全媒体新闻采编系统screen.do存在SQL注入漏洞.docx  方正畅享全媒体新闻采编系统reportCenter.do存在SQL注入漏洞.docx  蓝凌EKP系统接口thirdImSyncForKKWebService存在任意文件读取漏洞.docx  海康威视运行管理中心applyST远程代码执行漏洞.docx  大华DSS数字监控系统 attachment_downloadByUrlAtt.action接口存在任意文件读取漏洞.docx  顺景ERP系统FullGuidFileName任意文件读取漏洞.docx  用友NC系统接口yerfile_down存在SQL注入漏洞.docx  用友U8-CRM系统getDeptName存在SQL注入漏洞.docx  卓软计量业务管理平台image任意文件读取漏洞.docx 
SecFox运维安全管理与审计系统FastJson反序列化漏洞

圈子介绍

SecFox运维安全管理与审计系统FastJson反序列化漏洞
SecFox运维安全管理与审计系统FastJson反序列化漏洞

【圈子服务】

1.最新漏洞库(目前已1000+poc,定期更新,包含部分未公开漏洞)

2.应急响应资料库(热门病毒应急响应手册,应急工具)

3.安全书籍库(市面上热门安全书籍电子版)

4.字典库(攻防实战字典合集,字典生成工具)

5.安全制度库(100+篇安全管理制度汇编)

6.攻防演练红蓝队实战经验库

7.工具库(攻防实战工具,日常渗透工具,免杀工具,代码审计工具等)

SecFox运维安全管理与审计系统FastJson反序列化漏洞

加入方式

SecFox运维安全管理与审计系统FastJson反序列化漏洞

  圈子刚建立,现在加入可享早鸟价:

原价19.9月卡

现在29.9元享永久会员

限时两周!!!限时两周!!!

随着资源的积累后续会直接涨价至99.9

PC链接:https://wiki.freebuf.com/front/societyFront?society_id=291

微信扫码加入

SecFox运维安全管理与审计系统FastJson反序列化漏洞

原文始发于微信公众号(网络安全007):【漏洞复现】SecFox运维安全管理与审计系统FastJson反序列化漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月2日17:30:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   SecFox运维安全管理与审计系统FastJson反序列化漏洞https://cn-sec.com/archives/3584228.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息