首頁 > 安全研究 > 安全通報 > 安全通告

FastJson 1.2.61遠程代碼執行漏洞安全通告

發布時間 2019-09-23

漏洞編號和級別


CVE編號:暫無,危險級別:高危,CVSS分值:官方未評定


影響版本


受影響的版本


FastJson 1.2.61及以下


漏洞概述


FastJson是阿里巴巴的開源JSON解析庫,它可以解析JSON格式的字符串,支持將Java Bean序列化為JSON字符串,也可以從JSON字符串反序列化到JavaBean,由于具有執行效率高的特點,應用范圍很廣。


最近FastJson更新了黑名單,升級到了1.2.61版本,安全研究人員嘗試bypass其黑名單,在AutType打開的情況下成功繞過了黑名單防護。


復現環境準備


1.JDK 8U20


2.所需jar清單如下




FastJsonTest.java




惡意類ExportObject.java




使用org.apache.commons.configuration2.JNDIConfiguration ,payload 效果如下




Fastjson 在1.2.42版本開始,將原本明文的黑名單改成了hash value的黑名單,使用這種方式,能在一定程度上減緩安全研究者對fastjson黑名單繞過的速度。




漏洞驗證


暫無POC/EXP。


修復建議


目前暫未修復,官方即將更新。


參考鏈接


https://github.com/alibaba/fastjson/blob/master/src/main/java/com/alibaba/fastjson/parser/ParserConfig.java


上一篇 下一篇