近日,有安全人員發(fā)現(xiàn)Fastjson的多個版本補丁修復(fù)存在問題。攻擊者仍然可以通過發(fā)送精心制造的請求包, 在使用Fastjson的服務(wù)器上遠程執(zhí)行代碼。該問題影響Fastjson 1.2.47以及之前的版本,而且無需開啟Autotype選項。
近日,有安全人員發(fā)現(xiàn)Fastjson的多個版本補丁修復(fù)存在問題。攻擊者仍然可以通過發(fā)送精心制造的請求包, 在使用Fastjson的服務(wù)器上遠程執(zhí)行代碼。該問題影響Fastjson 1.2.47以及之前的版本,而且無需開啟Autotype選項。
Fastjson <= 1.2.47
Fastjson > 1.2.47
建議用戶升級到1.2.51版本或者最新版本1.2.58
Fastjson官方已經(jīng)發(fā)布1.2.58版本修復(fù)了上述漏洞,請受影響的用戶盡快升級進行防護。
同時可以使用WAF等攔截JSON中帶有 “@type”等字樣及各種編碼形式的請求。
參考鏈接:
https://github.com/alibaba/fastjson