Java的Fastjson庫爆高嚴重性RCE漏洞
流行的Fastjson庫中最近修補的一個高嚴重性安全漏洞,該漏洞可能被利用來實現遠端程式碼執行。
Fastjson是一個 Java 庫,用於將 Java 物件轉換為其JSON表示形式,反之亦然。AutoType是易受該漏洞影響的函式,預設啟用,旨在在解析 JSON 輸入時指定自定義型別,然後將其反序列化為適當類的物件。
安全漏洞跟蹤號為CVE-2022-25845(CVSS 評分:8.1),專案維護者在2022 年 5 月 23 日釋出的1.2.83 版本中對其進行了修補。
這個漏洞影響到所有依賴Fastjson 1.2.80或更早版本的Java應用程式,以及將使用者控制的資料傳遞給JSON.parse或JSON.parseObject APIs,而沒有指定一個特定的類來反序列化。
雖然專案所有者之前引入了一種禁用 AutoType 的安全模式,並開始維護一個阻止反序列化漏洞的類列表,但新發現的漏洞繞過了這些限制中的後者,從而導致遠端程式碼執行。
Fastjson 的使用者建議更新到 1.2.83 版本或開啟 safeMode,無論使用白名單還是黑名單都會關閉該功能,有效關閉反序列化攻擊的變種。
相關文章
- Chrome瀏覽器爆高嚴重性安全漏洞Chrome瀏覽器
- 在Apache Cassandra資料庫軟體中報告高嚴重性RCE安全漏洞Apache資料庫
- 思科IP電話存嚴重RCE漏洞!
- Rails框架再爆嚴重安全漏洞AI框架
- 技術分享 | Fastjson-RCE漏洞復現ASTJSON
- H2資料庫控制檯發現log4shell型別的嚴重RCE漏洞資料庫型別
- OpenLiteSpeed Web 伺服器被曝多個嚴重性漏洞Web伺服器
- 嚴重性10分,思科IOS XE零日漏洞正被利用iOS
- 最新CVSS 4.0漏洞嚴重性評級標準釋出
- K8s爆嚴重安全漏洞?有何應對措施與建議K8S
- CISA警告駭客利用ZK Java框架RCE漏洞Java框架
- 基於JDK9的Spring核心爆RCE 0-day漏洞 - CyberJDKSpring
- Java又爆致命漏洞Java
- 計算機史上最嚴重漏洞被公開,風險等級嚴重計算機
- Kubernetes 爆發嚴重漏洞:可能影響所有開源版本,請儘快升級
- 谷歌稱macOS核心存在“嚴重”漏洞谷歌Mac
- “百度系”APP存嚴重漏洞?APP
- Apline Linux被爆有嚴重漏洞,惡意攻擊者可藉此入侵容器Linux
- Linux Glibc庫嚴重安全漏洞修復(詳細過程)Linux
- Java 7.x爆高危漏洞Java
- spark未授權RCE漏洞Spark
- 原來不只是fastjson,這個你每天都在用的類庫也被爆過反序列化漏洞!ASTJSON
- 谷歌披露 微軟 Jet 資料庫引擎 RCE 漏洞,尚未修補谷歌微軟資料庫
- Sunlogin RCE漏洞分析和使用
- 資訊洩露、DNS快取中毒!版本低於4.3的NicheStack受高嚴重安全漏洞影響DNS快取
- 影響 Linux 系統安全基石的 glibc 嚴重漏洞Linux
- 比預想嚴重:FireFox現影像處理漏洞Firefox
- Fastjson反序列化漏洞ASTJSON
- NVIDIA Linux顯示卡驅動中存在嚴重漏洞(轉)Linux
- RCE(遠端程式碼執行漏洞)原理及漏洞利用
- common-collections中Java反序列化漏洞導致的RCE原理分析Java
- SRE 實用指南:事件嚴重性級別 - rootly事件
- [資訊](1.11)macOS又爆嚴重漏洞;“幽靈超距作用”測試獲突破,量子通訊安全問題有望解決Mac
- 嚴重危害警告!Log4j 執行漏洞被公開!
- 加密電郵在裸奔:PGP與S.MIME嚴重漏洞曝光加密
- 詳訊:微軟承認Outlook中存在嚴重安全漏洞 (轉)微軟
- Fastjson 反序列化漏洞史ASTJSON
- 從0開始fastjson漏洞分析ASTJSON