【高危】- Fastjson caucho-quercus远程代码执行漏洞
■ 漏洞描述
Fastjson是一个Java语言编写的高性能功能完善的JSON库。Fastjson 存在远程代码执行漏洞,远程攻击者可以通过构造的攻击代码触发远程代码执行漏洞,最终可以获取到服务器的控制权限。
Fastjson远程代码执行漏洞是由于使用com.caucho.config.types.ResourceRef类,绕过了Fastjson1.2.66及以前版本的黑名单而导致。当服务端加载了存在受漏洞影响的resin依赖,并且开启了Fastjson的autotype时,远程攻击者可以通过构造的攻击代码触发远程代码执行漏洞,最终可以获取到服务器的控制权限。
■ 影响范围
Fastjson<1.2.67
■ 漏洞检测
1、检测方法:查看系统版本。
■ 漏洞修复
Alibaba发布的最新版本Fastjson1.2.67已经防御此漏洞,请受漏洞影响的用户下载最新版本。
下载链接:https://github.com/alibaba/fastjson
■ 临时修复
方案1:Fastjson默认关闭autotype,如果项目中不需要该功能,可以删除以下代码:
ParserConfig.getGlobalInstance().setAutoTypeSupport(true)
■ 漏洞详情
https://mp.weixin.qq.com/s/4JzPRolR0cELL5g9bWM_eA
Fastjson是一个Java语言编写的高性能功能完善的JSON库。Fastjson 存在远程代码执行漏洞,远程攻击者可以通过构造的攻击代码触发远程代码执行漏洞,最终可以获取到服务器的控制权限。
Fastjson远程代码执行漏洞是由于使用com.caucho.config.types.ResourceRef类,绕过了Fastjson1.2.66及以前版本的黑名单而导致。当服务端加载了存在受漏洞影响的resin依赖,并且开启了Fastjson的autotype时,远程攻击者可以通过构造的攻击代码触发远程代码执行漏洞,最终可以获取到服务器的控制权限。
■ 影响范围
Fastjson<1.2.67
■ 漏洞检测
1、检测方法:查看系统版本。
■ 漏洞修复
Alibaba发布的最新版本Fastjson1.2.67已经防御此漏洞,请受漏洞影响的用户下载最新版本。
下载链接:https://github.com/alibaba/fastjson
■ 临时修复
方案1:Fastjson默认关闭autotype,如果项目中不需要该功能,可以删除以下代码:
ParserConfig.getGlobalInstance().setAutoTypeSupport(true)
■ 漏洞详情
https://mp.weixin.qq.com/s/4JzPRolR0cELL5g9bWM_eA