Fastjson 1.2.80 远程代码执行漏洞(CVE-2022-25845)

日期: 2024-04-25 | 影响软件: JSON | POC: 否

漏洞描述

Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将JavaBean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点,应用范围广泛。监测到Fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险,在特定条件下可绕过默认autoType关闭限制,从而反序列化有安全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行。

PoC代码

暂无

相关漏洞推荐