【高危】- Fastjson <=1.2.68全版本远程代码执行漏洞
■ 漏洞描述
Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。Fastjson <=1.2.68版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。
■ 影响范围
Fastjson <=1.2.68
■ 漏洞检测
检测方法:
1、查看系统版本。
2、是否完全禁用 autotype。
■ 漏洞修复
1、关注官方更新公告,待官方更新后,升级版本到 1.2.69 版本。
https://github.com/alibaba/fastjson
■ 临时修复
1、升级到 Fastjson 1.2.68 版本,通过配置以下参数开启 SafeMode 来防护攻击:
ParserConfig.getGlobalInstance().setSafeMode(true);(safeMode 会完全禁用 autotype,无视白名单,请注意评估对业务影响)。
2、推荐采用Jackson-databind或者Gson等组件进行替换。
■ 漏洞详情
https://vas.riskivy.com/vuln-detail?id=41
Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。Fastjson <=1.2.68版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。
■ 影响范围
Fastjson <=1.2.68
■ 漏洞检测
检测方法:
1、查看系统版本。
2、是否完全禁用 autotype。
■ 漏洞修复
1、关注官方更新公告,待官方更新后,升级版本到 1.2.69 版本。
https://github.com/alibaba/fastjson
■ 临时修复
1、升级到 Fastjson 1.2.68 版本,通过配置以下参数开启 SafeMode 来防护攻击:
ParserConfig.getGlobalInstance().setSafeMode(true);(safeMode 会完全禁用 autotype,无视白名单,请注意评估对业务影响)。
2、推荐采用Jackson-databind或者Gson等组件进行替换。
■ 漏洞详情
https://vas.riskivy.com/vuln-detail?id=41