近日�,有安全人員發(fā)現(xiàn)Fastjson的多個(gè)版本補(bǔ)丁修復(fù)存在問題。攻擊者仍然可以通過發(fā)送精心制造的請求包��, 在使用Fastjson的服務(wù)器上遠(yuǎn)程執(zhí)行代碼。該問題影響Fastjson 1.2.47以及之前的版本,而且無需開啟Autotype選項(xiàng)��。
綜述
近日��,有安全人員發(fā)現(xiàn)Fastjson的多個(gè)版本補(bǔ)丁修復(fù)存在問題�����。攻擊者仍然可以通過發(fā)送精心制造的請求包���, 在使用Fastjson的服務(wù)器上遠(yuǎn)程執(zhí)行代碼���。該問題影響Fastjson 1.2.47以及之前的版本,而且無需開啟Autotype選項(xiàng)�。
受影響的版本
不受影響的版本
建議用戶升級到1.2.51版本或者最新版本1.2.58
解決方案:
Fastjson官方已經(jīng)發(fā)布1.2.58版本修復(fù)了上述漏洞,請受影響的用戶盡快升級進(jìn)行防護(hù)��。
同時(shí)可以使用WAF等攔截JSON中帶有 “@type”等字樣及各種編碼形式的請求��。
參考鏈接:
https://github.com/alibaba/fastjson
400-001-9776
