[漏洞预警]FastJson < 1.2.48 远程代码执行漏洞

漏洞描述

常用JSON组件FastJson存在远程代码执行漏洞,攻击者可通过精心构建的json报文对目标服务器执行任意命令,从而获得服务器权限。此次爆发的漏洞为以往漏洞中autoType的绕过。

影响范围

FastJson < 1.2.48

漏洞验证

使用JNDI配合RMI&LDAP二阶注入或者字节码本地注入即可
字节码本地注入可以不受JDK修复限制且不受目标机器网络环境限制,此种利用方式对于攻击者更为有利

JNDI二阶注入
JNDI二阶注入
字节码本地注入

修复建议

FastJson版本 升级到1.2.51 或者 1.2.58

鸣谢

asiainfo-sec Sommous

你可能感兴趣的:([漏洞预警]FastJson < 1.2.48 远程代码执行漏洞)