Java 库 fastjson 被曝存“高危”远程代码执行漏洞

小笨 2020年6月5日22:34:51 发表评论 119 views

fastjson 当前版本为 1.2.68 发布于 3 月底,日前某安全运营中心监测到,fastjson

Java 库 fastjson 被曝存“高危”远程代码执行漏洞

Java 库 fastjson 被曝存“高危”远程代码执行漏洞

该远程代码执行漏洞原理是,autotype 开关的限制可以被绕过,链式反序列化攻击者可以通过精心构造反序列化利用链,最终达成远程命令执行。此漏洞本身无法绕过 fastjson 的黑名单限制,需要配合不在黑名单中的反序列化利用链才能完成完整的漏洞利用。

目前 fastjson 官方还未发布修复版本,使用者可以升级到 fastjson 1.2.68 版本,并通过配置 ParserConfig.getGlobalInstance().setSafeMode(true) 参数开启 SafeMode 防护攻击,不过需要注意的是 safeMode 会完全禁用 autotype,无视白名单,需要评估对业务影响的。

详情可以查看:

文章来源于互联网:Java 库 fastjson 被曝存“高危”远程代码执行漏洞

weinxin
【微信~支付宝~QQ】打赏
如果本文对你有所帮助,请打赏~1元就足够感动我
小笨

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: