8
Java的Fastjson库爆高严重性RCE漏洞
source link: https://www.jdon.com/61132
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
Java的Fastjson库爆高严重性RCE漏洞
流行的Fastjson库中最近修补的一个高严重性安全漏洞,该漏洞可能被利用来实现远程代码执行。
Fastjson是一个 Java 库,用于将 Java 对象转换为其JSON表示形式,反之亦然。AutoType是易受该漏洞影响的函数,默认启用,旨在在解析 JSON 输入时指定自定义类型,然后将其反序列化为适当类的对象。
安全漏洞跟踪号为CVE-2022-25845(CVSS 评分:8.1),项目维护者在2022 年 5 月 23 日发布的1.2.83 版本中对其进行了修补。
这个漏洞影响到所有依赖Fastjson 1.2.80或更早版本的Java应用程序,以及将用户控制的数据传递给JSON.parse或JSON.parseObject APIs,而没有指定一个特定的类来反序列化。
虽然项目所有者之前引入了一种禁用 AutoType 的安全模式,并开始维护一个阻止反序列化漏洞的类列表,但新发现的漏洞绕过了这些限制中的后者,从而导致远程代码执行。
Fastjson 的用户建议更新到 1.2.83 版本或开启 safeMode,无论使用白名单还是黑名单都会关闭该功能,有效关闭反序列化攻击的变种。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK