近日�����,國家信息安全漏洞庫(CNNVD)收到關(guān)于Fastjson遠程代碼執(zhí)行漏洞(CNNVD-201907-699)情況的報送��,此漏洞為2017年Fastjson 1.2.24 版本反序列化漏洞的延伸利用。攻擊者可以通過發(fā)送精心構(gòu)造的請求包在使用Fastjson的服務(wù)器上遠程執(zhí)行惡意代碼���。Fastjson1.2.51以下版本均受漏洞影響��。目前��,可通過臨時解決措施緩解漏洞帶來的危害�,建議用戶及時確認是否受到漏洞影響���,盡快采取修補措施��。
一���、漏洞介紹
Fastjson是一個Java語言編寫的JSON庫。Fastjson 存在遠程代碼執(zhí)行漏洞(CNNVD-201907-699)���,當應(yīng)用或系統(tǒng)使用 Fastjson 對由用戶可控的 JSON 字符串數(shù)據(jù)進行解析時�,可觸發(fā)遠程代碼執(zhí)行漏洞�����。該漏洞為2017 年Fastjson 1.2.24版本反序列化漏洞的延伸利用���。攻擊者可以通過發(fā)送精心構(gòu)造的請求包在使用Fastjson的服務(wù)器上遠程執(zhí)行惡意代碼����。
二、危害影響
成功利用該漏洞的攻擊者在使用Fastjson的服務(wù)器上遠程執(zhí)行惡意代碼����。Fastjson1.2.51以下版本均受漏洞影響。
三���、修復(fù)建議
目前,可通過臨時解決措施緩解漏洞帶來的危害���,建議用戶及時確認是否受到漏洞影響�����,盡快采取修補措施�。具體修補措施如下:
1��、升級Fastjson到最新版1.2.58
https://github.com/alibaba/fastjson/wiki/update_faq_20190722
2��、關(guān)閉Autotype
本通報由CNNVD技術(shù)支撐單位——知道創(chuàng)宇404實驗室��、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、奇安信科技集團股份有限公司�、北京長亭科技有限公司、上海斗象信息科技有限公司提供支持�。
CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況,及時發(fā)布相關(guān)信息����。如有需要,可與CNNVD聯(lián)系����。
聯(lián)系方式: cnnvd@itsec.gov.cn
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
