Fastjson官方再次披露严重漏洞，包括rocketmq、jeecg-boot等近15%的github开源项目受影响

原创

已于 2022-05-24 15:32:43 修改 · 2.6k 阅读

标签

#安全 #java #web安全 #开发语言

收录于

于 2022-05-24 09:49:43 首次发布

2022年5月，fastjson 1.2.80及以下版本曝出严重反序列化漏洞，可能导致远程代码执行。影响包括rocketmq、jeecg-boot等众多GitHub项目。OSCS开源软件社区建议升级至1.2.83，启用safeMode或使用V2版本，并提供检测工具协助修复。

2022年5月23日，fastjson 官方发布安全通报，fastjson <= 1.2.80 存在反序列化任意代码执行漏洞，在特定条件下可绕过默认autoType关闭限制，可能会导致远程服务器被攻击，风险影响较大。OSCS开源软件社区对此漏洞进行收录，漏洞信息如下：

漏洞评级：严重

影响组件：com.alibaba:fastjson

影响版本：<= 1.2.80

更多漏洞详细信息可进入OSCS社区查看：https://www.oscs1024.com/hd/MPS-2022-11320

同时，OSCS社区对Github上7000+个java项目进行了整体扫描，发现本次漏洞至少影响1031个项目，其中star大于500的项目达到290个。

受到此次漏洞影响的热门项目如下：

/apache/rocketmq	/jeecgboot/jeecg-boot
/alibaba/Sentinel	/xkcoding/spring-boot-demo
/Tencent/APIJSON	/alibaba/DataX
/zhaojun1998/zfile	/alibaba/jetcache
/alibaba/yugong	/alibaba/GraphScope

漏洞检测分析工具： http://github.com/murphysecurity/murphysec

OSCS建议您以下三种修复方式：

1、升级到1.2.83版本，该版本涉及autot

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

开源生态安全OSCS

关注关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
4
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Fastjson绕过技巧与编程学习

CqppDeveloper的博客

09-21

544

其中一个安全问题是Fastjson中的反序列化漏洞，可以被攻击者利用来绕过一些安全措施。在本文中，我们将探讨一种常见的Fastjson绕过技巧，并提供相应的代码示例。攻击者可以构造一个恶意的JSON字符串，其中包含一个特殊设计的Java对象，以触发Fastjson的反序列化过程。通过限制可以反序列化的类的集合，可以有效地防止恶意对象的反序列化。在应用程序初始化的过程中，调用上述代码将禁用Fastjson的自动类型检测，从而提高安全性。在上述代码中，我们首先禁用了Fastjson的自动类型检测，然后使用。

4 条评论您还未登录，请先登录后发表或查看评论

RocketMq4.9.2配置可视化界面+Docker

weixin_44121378的博客

02-22

593

官网参考地址https://rocketmq-1.gitbook.io/rocketmq-connector/rocketmq-connect/rocketmq-console 目录一、修改配置二、Docker环境安装和使用三、非Docker环境安装和使用下载地址：https://github.com/apache/rocketmq-externals.git 一、修改配置下载源码以后打开application.properties文件，配置rocketmq.config.namesrvA

SpringBoot整合RocketMQ

qq_43985303的博客

06-01

9611

（1）pom.xml中引入rocketmq-spring-boot-starter相关jar包（springboot 2.4.2 rocketmq 2.1.1）（2）application-dev.yml配置文件中配置消费者信息(rocket my-producer-group)（1）pom和生产者一样引用RocketMQ(rocketmq-spring-boot-starter 2.1.1)mqproductservice -- 消息生产服务（提供接口用于创建消息到MQ中）

Fastjson【RCE1.2.47】漏洞原理与实战攻防剖析

最新发布

weixin_28688385的博客

05-18

353

本文深度剖析Fastjson 1.2.47版本的反序列化漏洞（RCE）原理与攻防实践，详细讲解该漏洞如何通过JNDI注入实现远程代码执行，并提供漏洞复现的完整攻击链。文章涵盖靶场搭建、分步验证技巧及企业级防御方案，帮助开发者理解漏洞本质并实施有效防护措施。

在 Spring 生态中玩转 RocketMQ

ApacheRocketMQ的博客

11-21

1001

RocketMQ 作为业务消息的首选，在消息和流处理领域被广泛应用。而 Spring 框架也是业务开发中最受欢迎的框架，两者的完美契合使得 RocketMQ 成为 Spring Messaging 实现中最受欢迎的消息实现。一起来看看如何在 Spring 生态中玩转 RocketMQ 吧~

阿里巴巴 - FastJson使用简介

什么是江湖?

09-12

2万+

1.FastJSON简介 FastJSOn是阿里巴巴开源的JSON处理工具，大家可以尝试使用一下。官网地址：http://code.alibabatech.com/wiki/display/FastJSON/Overview Fastjson是一个json处理工具包，包括“序列化”和“反序列化”两部分，它具备如下特征：速度最快，测试表明，fastjson具有极快的性能，超越

fastjson官方文档_弃坑Fastjson ，进军Jackson

weixin_39607423的博客

11-30

6419

点击上方「Java有货」关注我们导语Fastjson 是阿里开源的Json类库，功能很强大，使用也很简单，不得不说温少还是很厉害的，但是fastjson却经常会暴露出高危的漏洞，每次都是紧急发版，导致项目上经常会去更新，这一点让使用者有点痛苦！json的类库还是很多的，比如：Gosn，JSON-B，Jackson，这三种json类库也是Springboot官方推荐：如下图但是...

高危安全漏洞Fastjson | 新发现高危autotype开关绕过安全漏洞

慌途L

06-12

3738

前言 Fastjson <=1.2.68版本存在远程代码执行漏洞，漏洞被利用可直接获取服务器权限。漏洞详情 Fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean 。本次漏洞发现，其autotype开关的限制可被绕过，然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。漏洞实际造成的危害与 gadgets 有关，gadgets中使用的类必须不在黑名单中，本漏洞无法绕

FastJson 框架详解

qq_41826542的博客

03-13

2455

如果使用 Spring MVC 来构建 Web 应用并对性能有较高的要求的话，可以使用 Fastjson 提供的来替换 Spring MVC 默认的以提高 @RestController @ResponseBody @RequestBody注解的 JSON序列化速度。下面是配置方式，非常简单。@Override//自定义配置...注：如果你使用的 Fastjson 版本小于1.2.36的话(强烈建议使用最新版本)，在与Spring MVC 4.X 版本集成时需使用。

2022-10 springboot修复fastjson autoType漏洞

Little Coding Farmer!

10-31

2074

springboot修复fastjson autoType漏洞

Fastjson漏洞原理分析

LTianHang的博客

06-04

5932

fastjson中产生漏洞的根本原因在于其autoType机制，以及针对于autoType机制做的checkAutoType检测防御机制。

Fastjson反序列化漏洞原理与漏洞复现（基于vulhub，保姆级的详细教程）

热门推荐

Bossfrank的博客

04-12

4万+

本文是Fastjson1.2.24漏洞复现，包括漏洞原理、漏洞利用（远程创建文件）、漏洞利用（反弹shell）。使用vulhub靶场进行搭建，保姆级教程，还望大家多多支持。

Java反序列化漏洞总结【fastjson为例】

z69183787的专栏

01-06

1752

前言前段时间FastJson被曝高危漏洞，其实之前也被报过类似的漏洞，只是项目中没有使用，所以一直也没怎么关注；这一次刚好有项目用到FastJson，打算对其做一个分析。漏洞背景 2020年05月28日， 360CERT监测发现业内安全厂商发布了[Fastjson远程代码执行漏洞](https://cert.360.cn/warning/detail?id=af8fea5f165df6198033de208983e2ad)的风险通告，漏洞等级：高危。Fastjson是阿里巴巴的开源JSON解析库，

FastJson 反序列化漏洞原理分析

buffedon的博客

08-01

9910

FastJson 反序列化漏洞原理分析FastJson 简介漏洞原理FastJson 序列化操作序列化反序列化调用链分析原理利用过程分析RMI 的实现JNDI服务器端代码构造总结1. fastjson 利用过程2. 恶意类怎么上传到服务端3. fastjson rce的原理参考 FastJson 简介 fastjson框架下载：https://github/alibaba/fastjson fastjson-jndi 下载：https://github.com/earayu/fastjson_jndi_po

fastJson使用介绍

Tenda的博客

01-20

550

介绍：Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种“假定有序快速匹配”的算法，把JSON Parse的性能提升到极致，是目前Java语言中最快的JSON库。Fastjson接口简单易用，已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。功能强大，完全支持Java Bean、集合、Map、日期、Enum，支持范型，支持自省；无依赖，

fastjson

念诚的备忘录

07-28

1359

常用 JSONObject JSONArray JSON

Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)

人若无名，便可专心练剑

03-27

6201

Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞，他是阿里巴巴的开源库，下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容，然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞！！！

json----fastjson的使用，jackson的使用

weixin_44235759的博客

09-02

2042

官网：https://www.json.org/json-zh.htmlSerializerFeature 枚举常量，做序列化的个性需求，是可变参数: 序列化时包含null的值: 枚举的常量，序列化自动为值为null，序列化为0: 枚举常量，序列化，布尔值为null，序列化为false: 枚举常量，序列化，日期的格式化 , 后面可以在字段注解中处理：枚举常量，序列化，美化输出，美化输出也有另一种，会在后面介绍该注解作用域方法上，字段上，参数上。可在序列化和反序列化时进行特性功能定制。

CVE-2023-1454注入分析复现

蚁景网安学院

07-17

2411

JeecgBoot的代码生成器是一种可以帮助开发者快速构建企业级应用的工具，它可以通过一键生成前后端代码，无需写任何代码，让开发者更多关注业务逻辑。