FastJSON 物件還原序列化

critical Web App Scanning Plugin ID 114884

概要

FastJSON 物件還原序列化

說明

序列化是將物件轉換為位元組資料流的處理程序,目的是透過網路儲存或傳送該物件。相反,還原序列化是從此位元組資料流重建物件的處理程序。

當使用 FastJSON 程式庫的應用程式執行不受信任的資料還原序列化時攻擊者可插入自訂序列化 JSON 物件藉此在系統上觸發惡意程式碼執行或產生拒絕服務攻擊 (DoS)。

使用 FastJSON 的目標 Java 應用程式容易受到此攻擊影響因為它會還原序列化使用者提供的物件。

解決方案

應用程式絕不應還原序列化未受信任的資料。必要時,應檢閱程式碼,以防止對任意類別執行還原序列化,並強化整個處理程序。確保將 FastJSON 程式庫更新至最新版本如果無法立即更新則可考慮使用 FastJSON 的安全模式或針對還原序列化類別實作自訂白名單/黑名單。

另請參閱

https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet.html

https://github.com/alibaba/fastjson

https://resources.infosecinstitute.com/10-steps-avoid-insecure-deserialization/#gref

https://www.owasp.org/index.php/Deserialization_of_untrusted_data

Plugin 詳細資訊

嚴重性: Critical

ID: 114884

類型: remote

已發布: 2025/6/17

已更新: 2025/6/17

掃描範本: api, pci, scan

風險資訊

VPR

風險因素: High

分數: 8.5

CVSS v2

風險因素: High

基本分數: 7.6

媒介: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: Tenable

CVSS v3

風險因素: Critical

基本分數: 9

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

CVSS 評分資料來源: Tenable

CVSS v4

風險因素: Critical

Base Score: 9.2

Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

CVSS 評分資料來源: Tenable

弱點資訊

可被惡意程式利用: true

參考資訊