!
也想出现在这里? 联系我们
广告位
当前位置:首页>安全咨询>漏洞复现>FastJson代码执行漏洞(CVE-2022-25845)(fastjson1.2.75漏洞)

FastJson代码执行漏洞(CVE-2022-25845)(fastjson1.2.75漏洞)

漏洞描述

Fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON字符串,也可以从 JSON 字符串反序列化到 JavaBean。在 Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType 关闭限制,从而反序列化有安全风险的类。
 


 

影响版本

FastJson ≤1.2.80
 


 

漏洞复现

漏洞payload

下载源码启动环境,发送payload



FastJson代码执行漏洞(CVE-2022-25845)(fastjson1.2.75漏洞)

FastJson代码执行漏洞(CVE-2022-25845)(fastjson1.2.75漏洞)

 


 

修复方法

1、升级至版本 FastJson 1.2.83

https://github.com/alibaba/fastjson/releases/tag/1.2.83

2、升级到 FastJosn v2

https://github.com/alibaba/fastjson2/releases
 

给TA打赏
共{{data.count}}人
人已打赏
漏洞复现

Realtek eCos SDK SIP ALG 缓冲区溢出CVE-2022-27255

2022-10-6 22:08:22

漏洞复现

GravCMS 未经身份验证的任意 YAML 写入/更新导致代码执行 (CVE-2021-21425)

2022-10-6 22:09:06

声明 本站上的部份代码及教程来源于互联网,仅供网友学习交流,若您喜欢本文可附上原文链接随意转载。无意侵害您的权益,请发送邮件至 admin@s9h.cn 或点击右侧 私信:少羽 反馈,我们将尽快处理。
4 条回复A文章作者M管理员
  1. 666

    你是如何看待我们这些凡人的?

  2. 喜欢晚风啊

    我又不是因为你们的评价才去当的英雄,是因为我想当才去当的。

  3. orange

    十几岁的年纪里,谁都不是谁的一生。

  4. orange

    舒服

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索