检测

FastJSON 对象反序列化

critical Web App Scanning 插件 ID 114884

语言:

简介

FastJSON 对象反序列化

描述

序列化是将对象转换为字节流,以便通过网络存储或发送的过程。相反,反序列化是从此字节流重新构建对象的过程。

当使用 FastJSON 库的应用程序执行不可信的数据反序列化时,攻击者可能会注入自定义串行化的 JSON 对象,以触发系统上的恶意代码执行或生成拒绝服务攻击(DoS)。

确定使用 FastJSON 的目标 Java 应用程序存在此攻击风险,因为它会反序列化用户提供的对象。

解决方案

应用程序切勿对不受信任的数据进行反序列化。必要时,应执行代码审查以防止对任意类进行反序列化并强化整个进程。确保FastJSON库已更新到最新版本,如果无法立即更新,考虑使用FastJSON的安全模式或实现自定义白名单/黑名单进行类反序列化。

另见

https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet.html

https://github.com/alibaba/fastjson

https://resources.infosecinstitute.com/10-steps-avoid-insecure-deserialization/#gref

https://www.owasp.org/index.php/Deserialization_of_untrusted_data

插件详情

严重性: Critical

ID: 114884

类型: Check Based

发布时间: 2025/6/17

最近更新时间: 2025/6/17

扫描模板: api, pci, scan

风险信息

VPR

风险因素: High

分数: 8.5

CVSS v2

风险因素: High

基本分数: 7.6

矢量: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C

CVSS 分数来源: Tenable

CVSS v3

风险因素: Critical

基本分数: 9

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

CVSS 分数来源: Tenable

CVSS v4

风险因素: Critical

Base Score: 9.2

Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

CVSS 分数来源: Tenable

漏洞信息

可利用: true

参考资料信息