首頁 > 安全研究 > 安全通報 > 安全通告

Fastjson遠程拒絕服務漏洞安全通告

發布時間 2019-09-05

●漏洞編號和級別


CVE編號:暫無,危險級別:高危,CVSS分值:官方未評定


影響版本


受影響的版本


Fastjson 1.2.60以下版本


漏洞概述


Fastjson是阿里巴巴的開源JSON解析庫,它可以解析JSON格式的字符串,支持將Java Bean序列化為JSON字符串,也可以從JSON字符串反序列化到JavaBean,由于具有執行效率高的特點,應用范圍很廣。


Fastjson 1.2.60版本以下存在字符串解析異常,可導致遠程拒絕服務攻擊。攻擊者即可通過精心構造的請求包對使用Fastjson的服務器造成遠程拒絕服務攻擊,使服務器CPU/RAM過載,導致服務器宕機。


漏洞驗證


暫無POC/EXP。


修復建議


升級Fastjson到1.2.60版本:https://github.com/alibaba/fastjson。


參考鏈接


https://github.com/alibaba/fastjson


上一篇 下一篇