Fastjson遠程代碼執(zhí)行漏洞是怎樣的

發(fā)布時間：2021-12-13 18:22:22 來源：億速云閱讀：184 作者：柒染欄目：大數(shù)據(jù)

今天就跟大家聊聊有關(guān)Fastjson遠程代碼執(zhí)行漏洞是怎樣的，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

0x00 漏洞背景

2020年05月28日， 360CERT監(jiān)測發(fā)現(xiàn)業(yè)內(nèi)安全廠商發(fā)布了Fastjson遠程代碼執(zhí)行漏洞的風(fēng)險通告，漏洞等級：高危。

Fastjson是阿里巴巴的開源JSON解析庫，它可以解析JSON格式的字符串，支持將Java Bean序列化為JSON字符串，也可以從JSON字符串反序列化到JavaBean。

Fastjson存在遠程代碼執(zhí)行漏洞，autotype開關(guān)的限制可以被繞過，鏈式的反序列化攻擊者精心構(gòu)造反序列化利用鏈，最終達成遠程命令執(zhí)行的后果。此漏洞本身無法繞過Fastjson的黑名單限制，需要配合不在黑名單中的反序列化利用鏈才能完成完整的漏洞利用。

截止到漏洞通告發(fā)布，官方還未發(fā)布1.2.69版本，360CERT建議廣大用戶及時關(guān)注官方更新通告，做好資產(chǎn)自查，同時根據(jù)臨時修復(fù)建議進行安全加固，以免遭受黑客攻擊。

0x01 風(fēng)險等級

360CERT對該漏洞的評定結(jié)果如下

評定方式	等級
威脅等級	【高?！?/td>
影響面	【廣泛】

0x02 影響版本

Fastjson：<= 1.2.68

0x03 修復(fù)建議

臨時修補建議：

升級到Fastjson 1.2.68版本，通過配置以下參數(shù)開啟 SafeMode 來防護攻擊：ParserConfig.getGlobalInstance().setSafeMode(true);（safeMode會完全禁用autotype，無視白名單，請注意評估對業(yè)務(wù)影響）

看完上述內(nèi)容，你們對Fastjson遠程代碼執(zhí)行漏洞是怎樣的有進一步的了解嗎？如果還想了解更多知識或者相關(guān)內(nèi)容，請關(guān)注億速云行業(yè)資訊頻道，感謝大家的支持。

向AI問一下細節(jié)

Fastjson遠程代碼執(zhí)行漏洞是怎樣的

0x00 漏洞背景

0x01 風(fēng)險等級

0x02 影響版本

0x03 修復(fù)建議

臨時修補建議：

猜你喜歡

最新資訊

相關(guān)推薦

相關(guān)標簽