威脅級别:嚴重, 受影響的Fastjson版本:Fastjson<1.2.67
Fastjson是一個Java語言編寫的高性能功能完善的JSON庫。Fastjson 存在遠端代碼執行漏洞,遠端攻擊者可以通過構造的攻擊代碼觸發遠端代碼執行漏洞,最終可以擷取到伺服器的控制權限。
Fastjson遠端代碼執行漏洞的關鍵原因是由于使用com.caucho.config.types.ResourceRef類,繞過了Fastjson1.2.66及以前版本的黑名單而導緻。當服務端加載了存在受漏洞影響的resin依賴,并且開啟了Fastjson的autotype時,遠端攻擊者可以通過構造的攻擊代碼觸發遠端代碼執行漏洞,最終可以擷取到伺服器的控制權限。
Alibaba釋出的最新版本Fastjson1.2.67已經防禦此漏洞;隻需要下載下傳fastjson-1.2.67.jar包更新即可。
下載下傳位址:https://download.csdn.net/download/u013758456/12278579
![搭建httpd服務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)