近日�����,有安全人員發(fā)現(xiàn)Fastjson的多個版本補丁修復(fù)存在問題�。攻擊者仍然可以通過發(fā)送精心制造的請求包, 在使用Fastjson的服務(wù)器上遠程執(zhí)行代碼��。該問題影響Fastjson 1.2.47以及之前的版本�����,而且無需開啟Autotype選項�。
綜述
近日,有安全人員發(fā)現(xiàn)Fastjson的多個版本補丁修復(fù)存在問題���。攻擊者仍然可以通過發(fā)送精心制造的請求包�, 在使用Fastjson的服務(wù)器上遠程執(zhí)行代碼����。該問題影響Fastjson 1.2.47以及之前的版本�,而且無需開啟Autotype選項���。
受影響的版本
不受影響的版本
建議用戶升級到1.2.51版本或者最新版本1.2.58
解決方案:
Fastjson官方已經(jīng)發(fā)布1.2.58版本修復(fù)了上述漏洞�,請受影響的用戶盡快升級進行防護���。
同時可以使用WAF等攔截JSON中帶有 “@type”等字樣及各種編碼形式的請求����。
參考鏈接:
https://github.com/alibaba/fastjson
400-001-9776
