1. 通告信息
近日�����,監(jiān)測到一則 Fastjson 組件存在autoType 默認關閉限制被繞過的漏洞信息�,漏洞威脅等級:高危。該漏洞需要存在特定依賴才可能利用成功�����。
對此����,安識科技建議廣大用戶及時升級到安全版本�����,并做好資產(chǎn)自查以及預防工作����,以免遭受黑客攻擊。
2. 漏洞概述
CVE:暫無
簡述:Fastjson 是阿里巴巴的開源 JSON 解析庫����,它可以解析JSON 格式的字符串��,支持將 Java Bean 序列化為 JSON字符串���,也可以從 JSON 字符串反序列化到 JavaBean。Fastjson在特定依賴下�����,存在autoType 默認關閉限制被繞過���。
3. 漏洞危害
攻擊者可利用該漏洞在未授權的情況下����,繞過autoType 默認關閉限制�����,進而構造惡意數(shù)據(jù)執(zhí)行遠程代碼執(zhí)行攻擊�,最終獲取服務器最高權限。
4. 影響版本
目前受影響的 Fastjson 版本:
Fastjson ≤ 1.2.80
5. 解決方案
5.1官方修復建議
當前官方已發(fā)布最新版本���,建議受影響的用戶及時更新升級到最新版本����。鏈接如下:
https://github.com/alibaba/fastjson/releases
5.2臨時修復建議
safeMode 加固
fastjson 在 1.2.68 及之后的版本中引入了 safeMode,配置 safeMode 后����,無論白名單和黑名單,都不支持 autoType�,可杜絕反序列化 Gadgets 類變種攻擊(關閉 autoType 注意評估對業(yè)務的影響)。
開啟方法參考官方文檔:
https://github.com/alibaba/fastjson/wiki/fastjson_safemode
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
