fastjson<1.2.67 反序列化遠(yuǎn)程代碼執(zhí)行漏洞
2020-03-25 00:00:00
近日,金山云安全應(yīng)急響應(yīng)中心監(jiān)控到fastjson官方發(fā)布了最新版本1.2.67����,該版本修復(fù)了最新的反序列化遠(yuǎn)程代碼執(zhí)行漏洞,補(bǔ)充了autoType安全黑名單�。如果用戶有基于autoType黑名單方式的應(yīng)用��,建議盡快更新至1.2.67版本并及時(shí)關(guān)注官方安全動(dòng)態(tài)��,避免損失��。
漏洞名稱
fastjson<1.2.67 反序列化遠(yuǎn)程代碼執(zhí)行漏洞
漏洞危害等級(jí)
高危
漏洞描述
fastjson小于1.2.67的版本中,若autoType打開(默認(rèn)關(guān)閉)���,安全黑名單可被繞過���,導(dǎo)致反序列化漏洞利用成功,從而實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行。
影響版本
Fastjson < 1.2.67
修復(fù)方案
更新到最新版本 1.2.67
Github地址:https://github.com/alibaba/fastjson/releases
參考鏈接
https://github.com/alibaba/fastjson/releases
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/03/25