微慑信息网

Fastjson <= 1.2.68远程代码执行

 

近日,监测到有消息称Fastjson<=1.2.68版本中存在一个高危漏洞。攻击者可以绕过autotype限制,但必须利用不在黑名单中的gadgets,实际造成的危害与利用的gadgets有关。

fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,由于具有执行效率高的特点,应用范围广泛。

请相关用户尽快采取防护措施

参考链接:

https://cloud.tencent.com/announce/detail/1112

受影响产品版本

  • Fastjson <= 1.2.68

不受影响产品版本

  • Fastjson >= 1.2.69

解决方案

Fastjson 1.2.69版本暂未发布,可先采取以下缓解措施规避风险,并持续关注官方新版本发布信息。

建议升级至 Fastjson 1.2.68 版本,该版本中引入一个safeMode的配置,配置safeMode后,无论白名单和黑名单,都不支持autoType。

有三种方式配置SafeMode:

  1. 在代码中配置

ParserConfig.getGlobalInstance().setSafeMode(true);

  1. 加上JVM启动参数

-Dfastjson.parser.safeMode=true

如果有多个包名前缀,用逗号隔开。

  1. 通过类路径的fastjson.properties文件配置

fastjson.parser.safeMode=true

配置参考链接:

https://github.com/alibaba/fastjson/wiki/fastjson_safemode

官方下载:

https://github.com/alibaba/fastjson/releases

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » Fastjson <= 1.2.68远程代码执行

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册