Fastjson远程代码执行漏洞预警

时间:2019-10-17 13:39:54来源:信息安全服务部作者:梦之想科技

Fastjson是一个非常流行的库,可以将数据在JSON和Java Object之间互相转换,应用十分广泛。


漏洞简介

严重程度:高危

CVE编号:暂无

影响版本:≤Fastjson 1.2.47


漏洞危害


Fastjson存在反序列化远程代码执行漏洞,当应用或系统使用Fastjson对由用户可控的JSON字符串数据进行解析时,允许远程代码执行。

此漏洞为2017年Fastjson 1.2.24版本反序列化漏洞的延伸利用,一旦遭到利用,危害巨大。


漏洞详情


此漏洞为2017年Fastjson1.2.24版本反序列化漏洞的延伸利用,且无需依赖autotype的开启。这也就意味着,处于默认配置下的Fastjson都会受到此漏洞的影响。

恶意攻击者可以通过构造攻击请求来绕过Fastjson的黑名单策略。


修复建议


可以通过更新Maven依赖配置,升级Fastjson至最新版本(1.2.58版本):

<dependency>

 <groupId>com.alibaba</groupId>

 <artifactId>fastjson</artifactId>

 <version>1.2.58</version>

</dependency>