Fastjson 1.2.24远程代码执行漏洞分析
漏洞是利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。
1.漏洞信息
1.1 漏洞简介
· 漏洞名称:Fastjson 1.2.24 Remote Code Execution (com.sun.rowset.JdbcRowSetImpl)
· 漏洞编号:无
· 漏洞类型:Remote Code Execution
· CVSS评分:无
· 漏洞危害等级:高危
1.2 组件概述
Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到极致,是目前Java语言中最快的JSON库。Fastjson接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。下图是Fastjson组件中的反序列化流程。
1.3 漏洞概述
漏洞是利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大的影响。
1.4 漏洞利用条件
· 无
1.5 漏洞影响
影响版本: Fastjson < 1.2.25
1.6 漏洞修复
获取Fastjson最新版本,下载链接:https://github.com/alibaba/fastjson
2.漏洞复现
2.1 环境拓扑
2.2 应用协议
8080/HTTP
原创文章,作者: Admin ,转载请注明出处:https://secvery.com/3859.html