检测

FastJSON 对象反序列化

critical Web App Scanning 插件 ID 114884

语言:

简介

FastJSON 对象反序列化

描述

序列化是将对象转换为字节流,以便通过网络存储或发送的过程。相反,反序列化是从此字节流重新构建对象的过程。

当使用 FastJSON 库的应用程序执行不受信任的数据反序列化时攻击者可注入自定义序列化 JSON 对象以在系统上触发恶意代码执行或产生拒绝服务攻击 (DoS)。

已确定使用 FastJSON 的目标 Java 应用程序容易受到此攻击因为它会反序列化用户提供的对象。

解决方案

应用程序切勿对不受信任的数据进行反序列化。必要时,应执行代码审查以防止对任意类进行反序列化并强化整个进程。确保 FastJSON 库更新到最新版本如果无法立即更新则考虑使用 FastJSON 的安全模式或实现自定义类白名单/黑名单以进行反序列化。

另见

https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet.html

https://github.com/alibaba/fastjson

https://resources.infosecinstitute.com/10-steps-avoid-insecure-deserialization/#gref

https://www.owasp.org/index.php/Deserialization_of_untrusted_data

插件详情

严重性: Critical

ID: 114884

类型: remote

发布时间: 2025/6/17

最近更新时间: 2025/6/17

扫描模板: api, pci, scan

风险信息

VPR

风险因素: High

分数: 8.5

CVSS v2

风险因素: High

基本分数: 7.6

矢量: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C

CVSS 分数来源: Tenable

CVSS v3

风险因素: Critical

基本分数: 9

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

CVSS 分数来源: Tenable

CVSS v4

风险因素: Critical

Base Score: 9.2

Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

CVSS 分数来源: Tenable

漏洞信息

可利用: true

参考资料信息