Deserialization of Untrusted Data 漏洞信息(CVE-2022-25845)

一、漏洞 CVE-2022-25845 基础信息

漏洞信息

                                        # 不受信任数据的反序列化

## 漏洞概述
快json（com.alibaba:fastjson）在1.2.83之前的版本存在反序列化不受信任数据的漏洞，可通过绕过默认的autoType关闭限制来利用此漏洞。利用此漏洞可以攻击远程服务器。

## 影响版本
- com.alibaba:fastjson 1.2.83之前的版本

## 漏洞细节
在某些条件下，攻击者可以绕过默认的autoType关闭限制，从而利用此漏洞进行远程服务器攻击。

## 影响
攻击者可能利用此漏洞发起远程攻击，导致服务器被攻破。建议升级至1.2.83版本或更高版本。如果无法升级，可以通过开启[safeMode](https://github.com/alibaba/fastjson/wiki/fastjson_safemode)来缓解风险。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

Deserialization of Untrusted Data

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The package com.alibaba:fastjson before 1.2.83 are vulnerable to Deserialization of Untrusted Data by bypassing the default autoType shutdown restrictions, which is possible under certain conditions. Exploiting this vulnerability allows attacking remote servers. Workaround: If upgrading is not possible, you can enable [safeMode](https://github.com/alibaba/fastjson/wiki/fastjson_safemode).

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

Fastjson 代码问题漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Fastjson是一款基于Java的快速JSON解析器/生成器。 Fastjson 1.2.83 之前版本存在安全漏洞，该漏洞源于容易绕过默认的 autoType 关闭限制来反序列化不受信任的数据，攻击者利用该漏洞可以攻击远程服务器。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

代码问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2022-25845 的公开POC

#	POC 描述	源链接	神龙链接
1	[fastjson 1.2.80] CVE-2022-25845 aspectj fileread & groovy remote classload	https://github.com/hosch3n/FastjsonVulns	POC详情
2	None	https://github.com/nerowander/CVE-2022-25845-exploit	POC详情
3	a scenario based on CVE-2022-25845 yielding a TP for metadata based SCA but a FN if the callgraph is used	https://github.com/scabench/fastjson-tp1fn1	POC详情
4	CVE-2022-25845(fastjson1.2.80) exploit in Spring Env!	https://github.com/luelueking/CVE-2022-25845-In-Spring	POC详情
5	exploit by python	https://github.com/ph0ebus/CVE-2022-25845-In-Spring	POC详情
6	None	https://github.com/Threekiii/Awesome-POC/blob/master/%E5%BC%80%E5%8F%91%E6%A1%86%E6%9E%B6%E6%BC%8F%E6%B4%9E/Fastjson%20%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%20CVE-2022-25845.md	POC详情
7	None	https://github.com/cuijiung/fastjson-CVE-2022-25845	POC详情

三、漏洞 CVE-2022-25845 的情报信息

https://snyk.io/vuln/SNYK-JAVA-COMALIBABA-2859222 x_refsource_MISC
https://www.ddosi.org/fastjson-poc/ x_refsource_MISC
https://github.com/alibaba/fastjson/commit/8f3410f81cbd437f7c459f8868445d50ad301f15 x_refsource_MISC
https://github.com/alibaba/fastjson/commit/35db4adad70c32089542f23c272def1ad920a60d x_refsource_MISC
https://github.com/alibaba/fastjson/wiki/security_update_20220523 x_refsource_MISC
https://github.com/alibaba/fastjson/releases/tag/1.2.83 x_refsource_MISC
https://www.oracle.com/security-alerts/cpujul2022.html x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2022-25845

四、漏洞 CVE-2022-25845 的评论

暂无评论

一、 漏洞 CVE-2022-25845 基础信息

漏洞信息

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2022-25845 的公开POC

三、漏洞 CVE-2022-25845 的情报信息

四、漏洞 CVE-2022-25845 的评论

发表评论

一、漏洞 CVE-2022-25845 基础信息