↑ 点击上方蓝色字关注我们
近日,Fastjson 1.2.47及之前的版本曝出漏洞,存在反序列化远程代码执行漏洞,无需依赖 autotype 开启,意味着默认配置下的 Fastjson 即会受到漏洞影响,当应用或系统使用 Fastjson 对由用户可控的 JSON 字符串数据进行解析时,将可能导致远程代码执行漏洞。
此漏洞为 17 年Fastjson 1.2.24版本反序列化漏洞的延伸利用,危害严重。目前 Fastjson 被广泛使用,为了避免 EXP 流出遭黑客攻击,我们建议立即更新 Fastjson 到当前最新版本1.2.58 。
下图为利用exp进行漏洞程序利用的测试场景。
安全狗已关注了事件进展,根据最新的研究分析,我们总结出了一些防护建议,敬请用户知晓。
预警报告信息漏洞名称 | Fastjson反序列化远程代码执行漏洞 |
漏洞影响版本 | FastJSON 1.2.30及以下版本 FastJSON 1.2.41至1.2.47版本 |
漏洞危害等级 | 高危 |
厂商是否已发布漏洞补丁 | 否 |
漏洞补丁更新地址 | 暂无 |
安全狗总预警期数 | 90 |
安全狗发布预警日期 | 2019年7月11日 |
安全狗更新预警日期 | 2019年7月11日 |
发布者 | 安全狗 |
1、升级至FastJSON最新版本,建议升级至1.2.58版本。
下载地址
http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.58/
升级方法
您可以通过更新Maven依赖配置,升级FastJSON至最新版本(1.2.58版本),具体参加下文:
com.alibaba
fastjson
1.2.58
2、建议安装有安全狗云御产品的用户,对使用fastjson组件受影响版本的站点增加防护规则。