Fastjson 反序列化漏洞

漏洞信息

漏洞名称： Fastjson 反序列化漏洞

漏洞编号：

• CVE： CVE-2017-18349

漏洞类型： 反序列化

漏洞等级： 严重

漏洞描述： Fastjson是一个由阿里巴巴开发的高性能JSON处理库，广泛用于Java应用程序中，特别是在Web服务和大规模分布式系统中进行JSON数据的序列化和反序列化操作。由于其高效的性能，Fastjson在众多企业和开发者的项目中得到了广泛应用。

该漏洞存在于Fastjson 1.2.25之前的版本中，属于反序列化漏洞。攻击者可以通过构造恶意的JSON数据，利用parseObject方法中的不安全反序列化机制，实现远程代码执行。具体来说，当Fastjson处理特定的JSON数据时，未能正确验证输入数据的合法性，导致攻击者可以注入任意代码，进而在目标系统上执行。

此漏洞的影响极为严重，攻击者无需任何形式的认证即可利用此漏洞，实现远程代码执行，完全控制受影响系统。这可能导致数据泄露、服务中断、甚至是整个系统的沦陷。由于Fastjson的广泛使用，该漏洞的影响范围非常广，特别是在那些未能及时更新到安全版本的应用中。因此，建议所有使用Fastjson的用户立即升级到1.2.25或更高版本，以避免潜在的安全风险。

产品厂商： Fastjson

产品名称： Fastjson

影响版本： version < 1.2.25

来源： https://github.com/projectdiscovery/nuclei-templates/issues/12387

类型： projectdiscovery/nuclei-templates:github issues

来源概述

Description:

Fastjson before 1.2.25 contains a remote code execution caused by unsafe deserialization in parseObject, letting remote attackers execute arbitrary code via crafted JSON data, exploit requires sending malicious JSON payload to /json endpoint.

Severity: Critical

POC:

• https://github.com/pippo-java/pippo/issues/466
• https://github.com/h0cksr/Fastjson--CVE-2017-18349-

KEV: True

Shodan Query: NA

Acceptance Criteria: The template must include a complete POC and should not rely solely on version-based detection. Contributors are required to provide debug data(-debug) along with the template to help the triage team with validation or can also share a vulnerable environment like docker file.

Rewards will only be given once the template is fully validated by the team. Templates that are incomplete or invalid will not be accepted. Avoid adding code templates for CVEs that can be achieved using HTTP, TCP, or JavaScript. Such templates are blocked by default and won’t produce results, so we prioritize creating templates with other protocols unless exceptions are made.

You can check the FAQ for the Nuclei Templates Community Rewards Program here.