近日����,有安全人員發(fā)現(xiàn)Fastjson的多個(gè)版本補(bǔ)丁修復(fù)存在問(wèn)題��。攻擊者仍然可以通過(guò)發(fā)送精心制造的請(qǐng)求包���, 在使用Fastjson的服務(wù)器上遠(yuǎn)程執(zhí)行代碼。該問(wèn)題影響Fastjson 1.2.47以及之前的版本�,而且無(wú)需開(kāi)啟Autotype選項(xiàng)。
綜述
近日����,有安全人員發(fā)現(xiàn)Fastjson的多個(gè)版本補(bǔ)丁修復(fù)存在問(wèn)題。攻擊者仍然可以通過(guò)發(fā)送精心制造的請(qǐng)求包�����, 在使用Fastjson的服務(wù)器上遠(yuǎn)程執(zhí)行代碼。該問(wèn)題影響Fastjson 1.2.47以及之前的版本��,而且無(wú)需開(kāi)啟Autotype選項(xiàng)��。
受影響的版本
不受影響的版本
建議用戶(hù)升級(jí)到1.2.51版本或者最新版本1.2.58
解決方案:
Fastjson官方已經(jīng)發(fā)布1.2.58版本修復(fù)了上述漏洞��,請(qǐng)受影響的用戶(hù)盡快升級(jí)進(jìn)行防護(hù)����。
同時(shí)可以使用WAF等攔截JSON中帶有 “@type”等字樣及各種編碼形式的請(qǐng)求。
參考鏈接:
https://github.com/alibaba/fastjson
400-001-9776
