一、 漏洞 CVE-2017-18349 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
Fastjson在1.2.25之前的版本中的parseObject方法存在漏洞,攻击者可以通过精心构造的JSON请求执行任意代码。该漏洞影响了Pippo 1.11.0版本以及其它产品中的FastjsonEngine。

## 影响版本
- Fastjson: 1.2.25 之前的所有版本
- Pippo: 1.11.0
- 其它使用受影响版本Fastjson的产品

## 漏洞细节
攻击通过向Pippo的/json URI发送包含精心构造的rmi:// URI的HTTP POST数据实现。具体来说,攻击者可以将攻击载荷嵌入到dataSourceName字段中,进而因AjaxApplication.java中的处理不当而执行任意代码。

## 影响
攻击者可以通过发送特定的JSON请求利用该漏洞执行任意代码,严重时可能导致服务器被完全控制。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
parseObject in Fastjson before 1.2.25, as used in FastjsonEngine in Pippo 1.11.0 and other products, allows remote attackers to execute arbitrary code via a crafted JSON request, as demonstrated by a crafted rmi:// URI in the dataSourceName field of HTTP POST data to the Pippo /json URI, which is mishandled in AjaxApplication.java.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Pippo FastjsonEngine Fastjson 输入验证漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Pippo是一款基于Java的Web框架。FastjsonEngine是其中的一个JSON处理引擎。Fastjson是其中的一个基于Java的JSON解析器/生成器。 Pippo 1.11.0版本中的FastjsonEngine所使用的Fastjson 1.2.25之前版本的parseObject存在安全漏洞。远程攻击者可通过发送特制的JSON请求利用该漏洞执行任意代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2017-18349 的公开POC
# POC 描述 源链接 神龙链接
1 None https://github.com/h0cksr/Fastjson--CVE-2017-18349- POC详情
2 parseObject in Fastjson before 1.2.25, as used in FastjsonEngine in Pippo 1.11.0 and other products, allows remote attackers to execute arbitrary code via a crafted JSON request, as demonstrated by a crafted rmi-// URI in the dataSourceName field of HTTP POST data to the Pippo /json URI, which is mishandled in AjaxApplication.java. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2017/CVE-2017-18349.yaml POC详情
三、漏洞 CVE-2017-18349 的情报信息
四、漏洞 CVE-2017-18349 的评论

暂无评论

发表评论