1. 极安网首页
  2. 网络安全技术

Fastjson 1.2.24远程代码执行漏洞分析

漏洞是利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。

1.漏洞信息

1.1 漏洞简介

· 漏洞名称:Fastjson 1.2.24 Remote Code Execution (com.sun.rowset.JdbcRowSetImpl)

· 漏洞编号:无

· 漏洞类型:Remote Code Execution

· CVSS评分:无

· 漏洞危害等级:高危

1.2 组件概述

Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到极致,是目前Java语言中最快的JSON库。Fastjson接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。下图是Fastjson组件中的反序列化流程。

Fastjson 1.2.24远程代码执行漏洞分析-极安网

1.3 漏洞概述

漏洞是利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大的影响。

1.4 漏洞利用条件

· 

1.5 漏洞影响

影响版本: Fastjson < 1.2.25

1.6 漏洞修复

获取Fastjson最新版本,下载链接:https://github.com/alibaba/fastjson

2.漏洞复现

2.1 环境拓扑

Fastjson 1.2.24远程代码执行漏洞分析-极安网Fastjson 1.2.24远程代码执行漏洞分析-极安网

2.2 应用协议

8080/HTTP

原创文章,作者: Admin ,转载请注明出处:https://www.secvery.com/3859.html