威胁级别:严重, 受影响的Fastjson版本:Fastjson<1.2.67
Fastjson是一个Java语言编写的高性能功能完善的JSON库。Fastjson 存在远程代码执行漏洞,远程攻击者可以通过构造的攻击代码触发远程代码执行漏洞,最终可以获取到服务器的控制权限。
Fastjson远程代码执行漏洞的关键原因是由于使用com.caucho.config.types.ResourceRef类,绕过了Fastjson1.2.66及以前版本的黑名单而导致。当服务端加载了存在受漏洞影响的resin依赖,并且开启了Fastjson的autotype时,远程攻击者可以通过构造的攻击代码触发远程代码执行漏洞,最终可以获取到服务器的控制权限。
Alibaba发布的最新版本Fastjson1.2.67已经防御此漏洞;只需要下载fastjson-1.2.67.jar包更新即可。
下载地址:https://download.csdn.net/download/u013758456/12278579
![搭建httpd服务[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)