Java的Fastjson庫爆高嚴重性RCE漏洞
流行的Fastjson庫中最近修補的一個高嚴重性安全漏洞,該漏洞可能被利用來實現遠端程式碼執行。
Fastjson是一個 Java 庫,用於將 Java 物件轉換為其JSON表示形式,反之亦然。AutoType是易受該漏洞影響的函式,預設啟用,旨在在解析 JSON 輸入時指定自定義型別,然後將其反序列化為適當類的物件。
安全漏洞跟蹤號為CVE-2022-25845(CVSS 評分:8.1),專案維護者在2022 年 5 月 23 日釋出的1.2.83 版本中對其進行了修補。
這個漏洞影響到所有依賴Fastjson 1.2.80或更早版本的Java應用程式,以及將使用者控制的資料傳遞給JSON.parse或JSON.parseObject APIs,而沒有指定一個特定的類來反序列化。
雖然專案所有者之前引入了一種禁用 AutoType 的安全模式,並開始維護一個阻止反序列化漏洞的類列表,但新發現的漏洞繞過了這些限制中的後者,從而導致遠端程式碼執行。
Fastjson 的使用者建議更新到 1.2.83 版本或開啟 safeMode,無論使用白名單還是黑名單都會關閉該功能,有效關閉反序列化攻擊的變種。
相關文章
- Chrome瀏覽器爆高嚴重性安全漏洞Chrome瀏覽器
- 在Apache Cassandra資料庫軟體中報告高嚴重性RCE安全漏洞Apache資料庫
- 思科IP電話存嚴重RCE漏洞!
- 技術分享 | Fastjson-RCE漏洞復現ASTJSON
- H2資料庫控制檯發現log4shell型別的嚴重RCE漏洞資料庫型別
- CVE-2021-44521:Apache Cassandra爆發RCE漏洞Apache
- 最新CVSS 4.0漏洞嚴重性評級標準釋出
- 嚴重性10分,思科IOS XE零日漏洞正被利用iOS
- OpenLiteSpeed Web 伺服器被曝多個嚴重性漏洞Web伺服器
- Kubernetes 爆發嚴重漏洞:可能影響所有開源版本,請儘快升級
- Apline Linux被爆有嚴重漏洞,惡意攻擊者可藉此入侵容器Linux
- 基於JDK9的Spring核心爆RCE 0-day漏洞 - CyberJDKSpring
- K8s爆嚴重安全漏洞?有何應對措施與建議K8S
- 計算機史上最嚴重漏洞被公開,風險等級嚴重計算機
- 谷歌稱macOS核心存在“嚴重”漏洞谷歌Mac
- CISA警告駭客利用ZK Java框架RCE漏洞Java框架
- 原來不只是fastjson,這個你每天都在用的類庫也被爆過反序列化漏洞!ASTJSON
- RCE漏洞常用的Payload總結
- fastjson反序列化漏洞ASTJSON
- Sunlogin RCE漏洞分析和使用
- spark未授權RCE漏洞Spark
- Java -fastjson apiJavaASTJSONAPI
- 資訊洩露、DNS快取中毒!版本低於4.3的NicheStack受高嚴重安全漏洞影響DNS快取
- 從0開始fastjson漏洞分析ASTJSON
- Fastjson 反序列化漏洞史ASTJSON
- common-collections中Java反序列化漏洞導致的RCE原理分析Java
- 谷歌披露 微軟 Jet 資料庫引擎 RCE 漏洞,尚未修補谷歌微軟資料庫
- SRE 實用指南:事件嚴重性級別 - rootly事件
- 截至2021年7月七大嚴重的安全漏洞總結
- nbcb特斯拉被爆又出嚴重事故,車主:命差點沒了
- 從0開始fastjson漏洞分析2ASTJSON
- Fastjson反序列化漏洞復現ASTJSON
- RCE(遠端程式碼執行漏洞)原理及漏洞利用
- 嚴重危害警告!Log4j 執行漏洞被公開!
- 加密電郵在裸奔:PGP與S.MIME嚴重漏洞曝光加密
- CVE-2024-43636 是一個針對 Microsoft Windows 作業系統中 DWM 核心庫 (Desktop Window Manager) 的安全漏洞。這個漏洞可以導致 遠端程式碼執行(RCE),對系統安全構成嚴重威脅。ROSWindows作業系統
- 漏洞聚焦:Moxa EDR-810 工業安全路由器存在多個嚴重漏洞路由器
- 彩虹易支付存在的嚴重SQL隱碼攻擊漏洞正在被濫用SQL