fastjson v1.2.47 反序列化漏洞

漏洞描述

探测存在fastjsonFastjson是阿里巴巴公司开源的一款json解析器，其性能优越，被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单，而在1.2.48以前的版本中，攻击者可以利用特殊构造的json字符串绕过白名单检测，成功执行任意命令。

相关漏洞推荐

CVE-2021-27670: Appspace jsonprequest SSRF漏洞 CVE-2021-27670 POC

2025-09-01 | Appspace jsonprequest

Appspace 6.2.4存在漏洞，允许通过api/v1/core/proxy/jsonprequest接口来进行服务端请求伪造，危害系统安全。 fofa-query: "Sign-in-...
hikvision-fastjson-rce: 海康威视综合安防管理平台 Fastjson 远程命令执行漏洞 POC

2025-09-01 | 海康威视综合安防管理平台Fastjson

海康威视综合安防管理平台存在Fastjson远程命令执行漏洞，该漏洞可执行系统命令，直接获取服务器权限。 Fofa: app="HIKVISION-综合安防管理平台" Fofa: ...
yunanbao-authservice-fastjson-rce: 云匣子 FastJson反序列化RCE漏洞 POC

2025-09-01 | yunanbao-authservice-fastjson

云匣子authService接口处使用存在漏洞 fastjson 组件，未授权的攻击者可通过fastjson 序列化漏洞对云匣子发起攻击获取服务器权限 Fofa: app="云安宝-云匣子&...
Chrome 远程调试 /json/version 未授权访问漏洞无POC

2025-09-12 | Chrome

/json/version接口泄露webSocket调试URL，攻击者无需认证即可访问返回包中的 webSocketDebuggerUrl，通过远程连接调试接口获取更多敏感数据
天锐绿盘云文档安全管理平台存在FastJson反序列化漏洞无POC

2025-09-05 | 天锐绿盘云文档安全管理平台

天锐绿盘云文档安全管理平台存在 FastJson 反序列化漏洞，此漏洞允许攻击者通过发送恶意构造的 JSON数据，触发服务器端的反序列化操作，从而执行任意代码或进行其他恶意行为。这一安全隐患可能导致数...

漏洞描述

PoC代码

相关漏洞推荐

CVE-2021-27670: Appspace jsonprequest SSRF漏洞 CVE-2021-27670 POC

hikvision-fastjson-rce: ​海康威视综合安防管理平台 Fastjson 远程命令执行漏洞 POC

yunanbao-authservice-fastjson-rce: 云匣子 FastJson反序列化RCE漏洞 POC

Chrome 远程调试 /json/version 未授权访问漏洞 无POC

天锐绿盘云文档安全管理平台存在FastJson反序列化漏洞 无POC

hikvision-fastjson-rce: 海康威视综合安防管理平台 Fastjson 远程命令执行漏洞 POC

Chrome 远程调试 /json/version 未授权访问漏洞无POC

天锐绿盘云文档安全管理平台存在FastJson反序列化漏洞无POC