首頁 > 安全研究 > 安全通報 > 安全通告

Fastjson caucho-quercus遠程代碼執行漏洞風險通告

發布時間 2020-03-23

漏洞編號和級別


CVE編號:暫無,危險級別:高危,CVSS分值:官方未評定


影響版本


Fastjson<1.2.67


漏洞概述


Fastjson是一個Java語言編寫的高性能功能完善的JSON庫。它采用一種“假定有序快速匹配”的算法,把JSON Parse的性能提升到極致,是目前Java語言中最快的JSON庫。Fastjson接口簡單易用,已經被廣泛使用在緩存序列化、協議交互、Web輸出、Android客戶端等多種應用場景。


Fastjson遠程代碼執行漏洞是由于使用com.caucho.config.types.ResourceRef類,繞過了Fastjson1.2.66及以前版本的黑名單而導致。當服務端加載了存在受漏洞影響的resin依賴,并且開啟了Fastjson的autotype時,遠程攻擊者可以通過構造的攻擊代碼觸發遠程代碼執行漏洞,最終可以獲取到服務器的控制權限。


漏洞驗證


暫無PoC/EXP。


修復建議


1.Alibaba發布的最新版本Fastjson1.2.67已經防御此漏洞,請受漏洞影響的用戶下載最新版本。下載鏈接:https://github.com/alibaba/fastjson。

2.Fastjson默認關閉autotype,如果項目中不需要該功能,可以刪除以下代碼:

ParserConfig.getGlobalInstance().setAutoTypeSupport(true);


參考鏈接


https://github.com/alibaba/fastjson


上一篇 下一篇