本页总览fastjson 1.2.24反序列化任意命令执行漏洞(CVE-2017-18349)漏洞简介利用fastjson autotype在处理json对象时,未对@type字段进行安全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码。影响版本fastjson < 1.2.25复现过程这里我们使用vulhub中的靶机进行复现(1.2.24-rce)访问靶机显示如下
