(安全)fastjson 版本漏洞升级提示

fastjson 版本漏洞升级提示

 

漏洞情报：fastjson <1.2.67 反序列化远程代码执行漏洞

漏洞介绍：近日，阿里云应急响应中心监测到fastjson官方git披露fastjson存在最新反序列化远程代码执行漏洞攻击Gadgets，利用该最新的Gadgets，攻击者可远程执行服务器任意命令，或者造成SSRF漏洞，风险较大。官方已发布最新版本1.2.67修复该漏洞，请使用到fastjson的用户尽快升级至安全版本。

漏洞等级：高危

 

漏洞描述

常用JSON组件FastJson存在远程代码执行漏洞，攻击者可通过精心构建的json报文对目标服务器执行任意命令，从而获得服务器权限。此次爆发的漏洞为以往漏洞中autoType的绕过。

影响范围

FastJson < 1.2.67

 

漏洞描述

利用该0day漏洞，恶意攻击者可以构造攻击请求绕过FastJSON的黑名单策略。例如，攻击者通过精心构造的请求，远程让服务端执行指定命令（以下示例中成功运行计算器程序）。

 

升级方式：

1.使用maven方式管理jar包 找到项目中的pom文件中找到 fastjson.version标签 更换标签中版本号，重新打包，既可以升级。

2. 使用非maven方式管理的jar 在代码路径中WEB-INF/lib目录下 找到fastjson jar包 并做替换。