(安全)fastjson 版本漏洞升级提示

fastjson 版本漏洞升级提示

 

漏洞情报:fastjson <1.2.67 反序列化远程代码执行漏洞

漏洞介绍:近日,阿里云应急响应中心监测到fastjson官方git披露fastjson存在最新反序列化远程代码执行漏洞攻击Gadgets,利用该最新的Gadgets,攻击者可远程执行服务器任意命令,或者造成SSRF漏洞,风险较大。官方已发布最新版本1.2.67修复该漏洞,请使用到fastjson的用户尽快升级至安全版本。

漏洞等级:高危

 

漏洞描述

常用JSON组件FastJson存在远程代码执行漏洞,攻击者可通过精心构建的json报文对目标服务器执行任意命令,从而获得服务器权限。此次爆发的漏洞为以往漏洞中autoType的绕过。

影响范围

FastJson < 1.2.67

 

漏洞描述

利用该0day漏洞,恶意攻击者可以构造攻击请求绕过FastJSON的黑名单策略。例如,攻击者通过精心构造的请求,远程让服务端执行指定命令(以下示例中成功运行计算器程序)。

 

升级方式:

1.使用maven方式管理jar包 找到项目中的pom文件中找到 fastjson.version标签 更换标签中版本号,重新打包,既可以升级。

(安全)fastjson 版本漏洞升级提示_第1张图片

2. 使用非maven方式管理的jar 在代码路径中WEB-INF/lib目录下 找到fastjson jar包 并做替换。

你可能感兴趣的:((安全)fastjson 版本漏洞升级提示)