您的位置 首页 漏洞感知

Fastjson反序列化预警

DONR 2019年8月30日 17:47

0x00 漏洞背景

近日,360CERT监测到广泛使用的 JSON 序列化框架 Fastjson 存在反序列化漏洞,可造成远程代码执行,且有证据表明 <1.2.48 的版本已存在在野利用。

攻击者可通过精心构造的JSON数据实现远程代码执行,可造成服务器被攻陷,该漏洞影响较广,请及时升级或部署缓解措施。

 

0x01 影响范围

  • fastjson < 1.2.51

 

0x02 修复建议

升级到 1.2.51 以上,并推荐关闭Autotype 详细升级方法可参见 https://github.com/alibaba/fastjson/wiki/update_faq_20190722

 

0x03 时间线

  • 2018-10-01 Fastjson 更新并发布安全补丁
  • 2019-07-11 360CERT发布漏洞预警
免责声明:若文章为网络转载内容,则文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。
标签:

为您推荐

Bonitasoft认证绕过和RCE漏洞分析及复现(CVE-2022-25237)

Bonitasoft认证绕过和RCE漏洞分析及复现(CVE-2022-25237)

漏洞感知 2023年1月31日
一、漏洞原理 漏洞简述 Bonitasoft 是一个业务自动化平台,可以更轻松地在业务流程中构建、部署和管理自动化应用程...

Google Chrome存在拒绝服务漏洞 – CNVD-2022-64946

漏洞感知 2022年11月14日
近日,AVANS团队发现Google Chrome存在拒绝服务通用漏洞,已第一时间将漏洞详情提交至CNVD(国家互联网应...
Chakra漏洞调试笔记5-CVE-2019-0861复现

Chakra漏洞调试笔记5-CVE-2019-0861复现

漏洞感知 2021年8月27日
在《Chakra漏洞调试笔记》1~4中,笔者从ImplicitCall,OpCode Side Effect,Missi...

常见网络安全设备弱口令

漏洞感知 2021年8月25日
设备默认账号默认密码深信服产品sangforsangfor sangfor@2018 sangfor@2019深信服科技...
MessageSolution 邮件归档系统EEA 信息泄露漏洞 CNVD-2021-10543

MessageSolution 邮件归档系统EEA 信息泄露漏洞 CNVD-2021-10543

漏洞感知 2021年6月29日
MessageSolution企业邮件归档管理系统 EEA是北京易讯思达科技开发有限公司开发的一款邮件归档系统。该系统存...
返回顶部