Echo

Echo

大家好,我是Echo!

Echo

Echo

关注TA

大家好,我是Echo!

  • 普罗旺斯
  • 自由职业

最近留言

  • Nemo Nemo

    如果文章内容侵犯了您的权益,可以联系在下做处理哟~我的邮箱是:nemo@link-nemo.com

该文章投稿至  资讯  板块


Java 库 fastjson 被曝存“高危”远程代码执行漏洞

2020年05月31 14:38 47 0 复制链接

fastjson 当前版本为 1.2.68 发布于 3 月底,日前某安全运营中心监测到,fastjson <= 1.2.68 版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。360CERT 将漏洞等级定为“高危”。

该远程代码执行漏洞原理是,autotype 开关的限制可以被绕过,链式反序列化攻击者可以通过精心构造反序列化利用链,最终达成远程命令执行。此漏洞本身无法绕过 fastjson 的黑名单限制,需要配合不在黑名单中的反序列化利用链才能完成完整的漏洞利用。

目前 fastjson 官方还未发布修复版本,使用者可以升级到 fastjson 1.2.68 版本,并通过配置 ParserConfig.getGlobalInstance().setSafeMode(true) 参数开启 SafeMode 防护攻击,不过需要注意的是 safeMode 会完全禁用 autotype,无视白名单,需要评估对业务影响的。

详情可以查看:


本文由LinkNemo爬虫[Echo]采集自[https://www.ithome.com/0/490/069.htm]

点赞(0)
本文标签java 漏洞
点了个评

回复@{{reply.nickName}}