网站首页 > 资源文章 正文
漏洞基础信息
漏洞编号 | 无 |
漏洞等级 | 高危 |
漏洞类型 | 远程代码执行 |
影响范围 | Fastjson≤1.2.80 |
修复版本 | Fastjson 1.2.83 |
漏洞威胁概况
PoC | 暂无 |
Exp | 暂无 |
在野利用 | 未知 |
漏洞描述
Fastjson是一个开源的Java对象和JSON格式字符串快速转换的工具库。近日,Fastjson官方发布安全公告,修复了一个存在于Fastjson1.2.80及之前版本中的反序列化漏洞,并使用黑名单用于防御反序列化漏洞。该漏洞在特定条件下可绕过默认AutoType关闭限制,攻击远程服务器。
火绒安全已上线Fastjson漏洞本地检测工具,帮助用户排查本地是否有存在漏洞的Java库,请用户尽快自查更新进行防护。火绒安全产品不受此漏洞影响。
检测工具下载地址:https://down5.huorong.cn/tools/fastjsonDetectionTool.zip
修复建议
1、更新到最新版本 1.2.83
https://github.com/alibaba/fastjson/releases/tag/1.2.83
2、升级到Fastjson v2
https://github.com/alibaba/fastjson2/releases
3、开启安全模式
Fastjson在1.2.68及之后的版本中引入了SafeMode,配置SafeMode后,无论白名单和黑名单,都不支持AutoType,可杜绝反序列化Gadgets类变种攻击(关闭AutoType注意评估对业务的影响)
开启方法参考:https://github.com/alibaba/fastjson/wiki/fastjson_safemode
官方通告:
https://github.com/alibaba/fastjson/wiki/security_update_20220523
猜你喜欢
- 2024-11-17 什么是漏洞扫描?怎么进行?(什么是漏洞扫描?怎么进行的)
- 2024-11-17 系统漏洞扫描工具文章列表 第1页(专业的漏洞扫描工具)
- 2024-11-17 常见36种WEB渗透测试漏洞描述及解决方法---不安全HTTP方法
- 2024-11-17 一款分布式web漏洞检测工具WDScanner
- 2024-11-17 13款漏洞扫描工具,了解一下(你了解的漏洞扫描软件有哪些?)
- 2024-11-17 常见36种WEB渗透测试漏洞描述及解决方法---登录绕过漏洞
- 2024-11-17 Access数据库注入漏洞测试(access数据库sql注入)
- 2024-11-17 云效代码管理Codeup-源码漏洞检测
- 2024-11-17 【成果推荐】一种基于行为特征自动机模型的软件漏洞检测方法
- 2024-11-17 今天给大家分享一款针对API水平越权漏洞的检测工具
欢迎 你 发表评论:
- 05-24这波色彩配色方案!属于冬天
- 05-24(三色)色彩搭配方案!精美
- 05-24家庭装修,应该如何配色?大牌设计师收藏的36个色卡方案公开了
- 05-24160种穿衣配色方案,总有一种适合你
- 05-24(四色)色彩搭配方案!值得收藏
- 05-24不会色彩搭配?赶紧学会这些基本配色技巧
- 05-24超全37组高级感配色,看上去就很贵的女神范儿,照着穿就对了
- 05-24今夏,穿搭更时髦打开方式:推荐几组“配色方案”,时髦又显白
- 最近发表
- 标签列表
-
- 电脑显示器花屏 (79)
- 403 forbidden (65)
- linux怎么查看系统版本 (54)
- 补码运算 (63)
- 缓存服务器 (61)
- 定时重启 (59)
- plsql developer (73)
- 对话框打开时命令无法执行 (61)
- excel数据透视表 (72)
- oracle认证 (56)
- 网页不能复制 (84)
- photoshop外挂滤镜 (58)
- 网页无法复制粘贴 (55)
- vmware workstation 7 1 3 (78)
- jdk 64位下载 (65)
- phpstudy 2013 (66)
- 卡通形象生成 (55)
- psd模板免费下载 (67)
- shift (58)
- localhost打不开 (58)
- 检测代理服务器设置 (55)
- frequency (66)
- indesign教程 (55)
- 运行命令大全 (61)
- ping exe (64)
本文暂时没有评论,来添加一个吧(●'◡'●)