Fastjson反序列化漏洞预警
Posted 三六零CERT
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Fastjson反序列化漏洞预警相关的知识,希望对你有一定的参考价值。
0x00 漏洞背景
近日,360CERT监测到广泛使用的 JSON 序列化框架 Fastjson 存在反序列化漏洞,可造成远程代码执行,且有证据表明 <1.2.48 的版本已存在在野利用。
攻击者可通过精心构造的JSON数据实现远程代码执行,可造成服务器被攻陷,该漏洞影响较广,请及时升级或部署缓解措施。
0x01 影响范围
fastjson < 1.2.51
0x02 修复建议
升级到 1.2.51 以上,并推荐关闭Autotype
详细升级方法可参见
https://github.com/alibaba/fastjson/wiki/update_faq_20190722
0x03 时间线
2019-07-11 360CERT发布漏洞预警
0x04 参考链接
fastjson update faq
[https://github.com/alibaba/fastjson/wiki/update_faq_20190722]
推荐阅读:
注:360CERT官方网站提供《Fastjson反序列化漏洞预警》完整预警详情,点击阅读原文
以上是关于Fastjson反序列化漏洞预警的主要内容,如果未能解决你的问题,请参考以下文章
fastjson漏洞 - Fastjson1.2.47反序列化漏洞