fastjson<1.2.69 反序列化远程代码
执行漏洞介绍
利用漏洞可绕过 autoType 限制,直接远程执行任意命令攻击服务器,风险极
大。
近日,阿里云应急响应中心监测到 fastjson 官方发布新版本,披露一个最新反
序列化远程代码执行漏洞,利用漏洞,可绕过 autoType 限制,直接远程执行
任意命令攻击服务器,风险极大。
漏洞描述
fastjson 采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的
反序列化 Gadgets 类时,在 autoType 关闭的情况下仍然可能可以绕过黑白名
单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过
autoType 限制,风险影响较大。阿里云应急响应中心提醒 fastjson 用户尽快
采取安全措施阻止漏洞攻击。
影响版本
fastjson < 1.2.69
fastjson sec 版本 < sec10
安全版本
fastjson >= 1.2.69
fastjson sec 版本>= sec10
评论1
最新资源