最新動態(tài)

【漏洞預警】關于Java組件fastjson存在反序列化漏洞預警

2022-05-27

關于Java組件fastjson存在反序列化漏洞預警

一、安全預警

    近期,據(jù)國家網(wǎng)絡與信息安全信息通報中心監(jiān)測發(fā)現(xiàn),阿里巴巴公司開源Java開發(fā)組件fastjson存在反序列化漏洞。fastjson被眾多java軟件作為組件集成,廣泛存在于java應用的服務端代碼中。攻擊者可利用上述漏洞實施任意文件寫入、服務端請求偽造等攻擊行為,造成服務器權限被竊取、敏感信息泄漏等嚴重影響。此次事件影響fastjson 1.2.80及之前所有版本。

二、事件信息
(一)事件概要
事件名稱:Fastjson 反序列化漏洞
CVE 編號:暫無
威脅類型:反序列化
威脅等級:高
受影響的應用版本:Fastjson ≤ 1.2.80
(二)漏洞描述
Fastjson1.2.80 及以下版本存在反序列化漏洞,F(xiàn)astjson 已使用黑白名單用于防御反序列化漏洞,但在特定條件下可繞過默認autoType 關閉限制,攻擊遠程服務器。
(三)影響范圍
Fastjson ≤ 1.2.80

三、防范建議
官方已發(fā)布安全版本,請及時下載更新,下載地址:https://github.com/alibaba/fastjson/releases/tag/1.2.83