-
- 关于Adobe ColdFusion反序列化命令执行漏洞(CVE-2023-38203)的安全告知
- 关于Ivanti Pulse Connect Secure VPN XXE漏洞(CVE-2024-22024)的安全告知
- 关于Metabase远程代码执行漏洞(CVE-2023-38646)的安全告知
- 关于NetScaler ADC和NetScaler Gateway敏感信息泄露漏洞(CVE-2023-4966)的安全告知
- 关于WordPress Bricks Builder 远程命令执行漏洞(CVE-2024-25600)的安全告知
- 关于 WebLogic Server JNDI注入漏洞(CVE-2024-20931)的安全告知
- 关于致远M1反序列化漏洞的安全告知
- 关于Jeecg-Boot JimuReport queryFieldBySql 模板注入漏洞的安全告知
- 关于Ivanti SAML SSRF漏洞(CVE-2024-21893)的安全告知
- 关于 TOTOLINK A3700R命令执行漏洞(CVE-2023-46574)的安全告知
Fastjson远程代码执行漏洞预警
时间:2019-10-17 13:39:54来源:信息安全服务部作者:梦之想科技
Fastjson是一个非常流行的库,可以将数据在JSON和Java Object之间互相转换,应用十分广泛。
漏洞简介
严重程度:高危
CVE编号:暂无
影响版本:≤Fastjson 1.2.47
漏洞危害
Fastjson存在反序列化远程代码执行漏洞,当应用或系统使用Fastjson对由用户可控的JSON字符串数据进行解析时,允许远程代码执行。
此漏洞为2017年Fastjson 1.2.24版本反序列化漏洞的延伸利用,一旦遭到利用,危害巨大。
漏洞详情
此漏洞为2017年Fastjson1.2.24版本反序列化漏洞的延伸利用,且无需依赖autotype的开启。这也就意味着,处于默认配置下的Fastjson都会受到此漏洞的影响。
恶意攻击者可以通过构造攻击请求来绕过Fastjson的黑名单策略。
修复建议
可以通过更新Maven依赖配置,升级Fastjson至最新版本(1.2.58版本):
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.58</version>
</dependency>