MENU

Fastjson远程代码执行漏洞

March 15, 2017 • Security

0x01 前言

2017年3月15日,Fastjson 官方发布安全公告,该公告介绍fastjson在1.2.24以及之前版本存在代码执行漏洞代码执行漏洞,恶意攻击者可利用此漏洞进行远程代码执行,从而进一步入侵服务器,目前官方已经发布了最新版本,最新版本已经成功修复该漏洞。

0x02 漏洞详情

漏洞编号:

暂无

漏洞名称:

Fastjson远程代码执行漏洞

官方评级:

高危

漏洞描述:

fastjson在1.2.24以及之前版本存在代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,fastjson在反序列化时存在漏洞,可导致远程任意代码执行漏洞。

漏洞利用条件和方式:

黑客可以远程代码执行成功利用该漏洞。

漏洞影响范围:

1.2.24及之前版本

0x03 漏洞修复建议

采用以下两种方式将fastjson升级到1.2.28或者更新版本:

  1. Maven依赖配置更新

通过maven配置更新,使用最新版本,如下:

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.28</version>
</dependency>
  1. 直接下载

1.2.28版本下载地址 http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/

0x04 参考

Archives QR Code
QR Code for this page
Tipping QR Code