你所在的位置: 首页 > 正文

漏洞预警 - Fastjson远程代码执行0day漏洞

2019-08-16 点击:1067
?

前段时间,Ali Yunyun Shield紧急响应中心检测到FastJSON中存在0day漏洞,攻击者利用该漏洞绕过黑名单策略进行远程代码执行。

FastJson简介

Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,以及从JSON字符串反序列化到JavaBeans。

漏洞名称

FastJSON远程代码执行0day漏洞

漏洞描述

有了这个0day漏洞,恶意攻击者可以构建攻击请求以绕过FastJSON黑名单策略。例如,攻击者远程使服务器通过精心设计的请求执行指定的命令(计算器程序在以下示例中成功运行)。

%5C

漏洞危害

在战斗机安全应急响应小组分析了Fastjson的多个补丁修复程序后,Fastjson低于1.2.48版本,并且不需要Autotype。攻击者可以通过精心构造的请求数据包在Fastjson服务器上执行远程代码执行。

影响范围

FastJSON版本低于1.2.48

修复方案

1.将Fastjosn升级到版本1.2.58并关闭Autotype;

2. WAF在Json请求中以各种编码形式截取单词'

日期归档
新皇冠国际娱乐 版权所有© www.16west40th.com 技术支持:新皇冠国际娱乐 | 网站地图