行业新闻
通知公告

【威胁通告】Fastjson远程代码执行漏洞

时间:2019-07-13 来源:

近日,有安全人员发现Fastjson的多个版本补丁修复存在问题。攻击者仍然可以通过发送精心制造的请求包, 在使用Fastjson的服务器上远程执行代码。该问题影响Fastjson 1.2.47以及之前的版本,而且无需开启Autotype选项。

综述

近日,有安全人员发现Fastjson的多个版本补丁修复存在问题。攻击者仍然可以通过发送精心制造的请求包, 在使用Fastjson的服务器上远程执行代码。该问题影响Fastjson 1.2.47以及之前的版本,而且无需开启Autotype选项。

受影响的版本

  • Fastjson <= 1.2.47

不受影响的版本

  • Fastjson > 1.2.47

建议用户升级到1.2.51版本或者最新版本1.2.58

解决方案:

Fastjson官方已经发布1.2.58版本修复了上述漏洞,请受影响的用户尽快升级进行防护。

同时可以使用WAF等拦截JSON中带有 “@type”等字样及各种编码形式的请求。

参考链接:

https://github.com/alibaba/fastjson


  • 24小时服务电话:400-001-9776-2线
  • 商务合作:gjsec@guangjusec.com
  • 高新区行政:青岛市高新区和源路2号27栋1706室
    黄岛区行政:青岛市黄岛区江山南路480号讯飞未来港718室