fastjson 版本漏洞升级提示
漏洞情报:fastjson <1.2.67 反序列化远程代码执行漏洞
漏洞介绍:近日,阿里云应急响应中心监测到fastjson官方git披露fastjson存在最新反序列化远程代码执行漏洞攻击Gadgets,利用该最新的Gadgets,攻击者可远程执行服务器任意命令,或者造成SSRF漏洞,风险较大。官方已发布最新版本1.2.67修复该漏洞,请使用到fastjson的用户尽快升级至安全版本。
漏洞等级:高危
漏洞描述
常用JSON组件FastJson存在远程代码执行漏洞,攻击者可通过精心构建的json报文对目标服务器执行任意命令,从而获得服务器权限。此次爆发的漏洞为以往漏洞中autoType的绕过。
影响范围
FastJson < 1.2.67
漏洞描述
利用该0day漏洞,恶意攻击者可以构造攻击请求绕过FastJSON的黑名单策略。例如,攻击者通过精心构造的请求,远程让服务端执行指定命令(以下示例中成功运行计算器程序)。
升级方式:
1.使用maven方式管理jar包 找到项目中的pom文件中找到 fastjson.version标签 更换标签中版本号,重新打包,既可以升级。
2. 使用非maven方式管理的jar 在代码路径中WEB-INF/lib目录下 找到fastjson jar包 并做替换。
