fastjson v1.2.24 反序列化漏洞

漏洞描述

fastjson在解析json的过程中，支持使用autoType来实例化某一个具体的类，并调用该类的set/get方法来访问属性。通过查找代码中相关的方法，即可构造出一些恶意利用链。

相关漏洞推荐

CVE-2021-27670: Appspace jsonprequest SSRF漏洞 CVE-2021-27670 POC

2025-09-01 | Appspace jsonprequest

Appspace 6.2.4存在漏洞，允许通过api/v1/core/proxy/jsonprequest接口来进行服务端请求伪造，危害系统安全。 fofa-query: "Sign-in-...
hikvision-fastjson-rce: 海康威视综合安防管理平台 Fastjson 远程命令执行漏洞 POC

2025-09-01 | 海康威视综合安防管理平台Fastjson

海康威视综合安防管理平台存在Fastjson远程命令执行漏洞，该漏洞可执行系统命令，直接获取服务器权限。 Fofa: app="HIKVISION-综合安防管理平台" Fofa: ...
yunanbao-authservice-fastjson-rce: 云匣子 FastJson反序列化RCE漏洞 POC

2025-09-01 | yunanbao-authservice-fastjson

云匣子authService接口处使用存在漏洞 fastjson 组件，未授权的攻击者可通过fastjson 序列化漏洞对云匣子发起攻击获取服务器权限 Fofa: app="云安宝-云匣子&...
Chrome 远程调试 /json/version 未授权访问漏洞无POC

2025-09-12 | Chrome

/json/version接口泄露webSocket调试URL，攻击者无需认证即可访问返回包中的 webSocketDebuggerUrl，通过远程连接调试接口获取更多敏感数据
天锐绿盘云文档安全管理平台存在FastJson反序列化漏洞无POC

2025-09-05 | 天锐绿盘云文档安全管理平台

天锐绿盘云文档安全管理平台存在 FastJson 反序列化漏洞，此漏洞允许攻击者通过发送恶意构造的 JSON数据，触发服务器端的反序列化操作，从而执行任意代码或进行其他恶意行为。这一安全隐患可能导致数...

漏洞描述

PoC代码

相关漏洞推荐

CVE-2021-27670: Appspace jsonprequest SSRF漏洞 CVE-2021-27670 POC

hikvision-fastjson-rce: ​海康威视综合安防管理平台 Fastjson 远程命令执行漏洞 POC

yunanbao-authservice-fastjson-rce: 云匣子 FastJson反序列化RCE漏洞 POC

Chrome 远程调试 /json/version 未授权访问漏洞 无POC

天锐绿盘云文档安全管理平台存在FastJson反序列化漏洞 无POC

hikvision-fastjson-rce: 海康威视综合安防管理平台 Fastjson 远程命令执行漏洞 POC

Chrome 远程调试 /json/version 未授权访问漏洞无POC

天锐绿盘云文档安全管理平台存在FastJson反序列化漏洞无POC