FASTJSON反序列化远程代码执行漏洞通告
发布时间:
2022-05-24
文章来源:
作者
发布人:
wlaq
浏览次数:

发布时间:2022-05-24文章来源:网络与信息中心作者: 发布人:wlaq 浏览次数:445


一、漏洞概述

Fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险,在特定条件下可绕过默认autoType关闭限制,从而反序列化有安全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行。请相关用户尽快采取防护措施。

Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点,应用范围广泛。



二、影响范围

受影响版本

Fastjson ≤ 1.2.80


三、修复方式

目前官方已在最新版本1.2.83中修复了该漏洞,请受影响的用户尽快升级版本进行防护。


引用自:http://blog.nsfocus.net/fastjson-ns/


Copyright 2013 中国海洋大学网络与信息中心
电话:0532-66782160
邮箱:wlzx@ouc.edu.cn
地址:青岛市松岭路238号,中国海洋大学 图书馆B楼
邮编:266000