Fastjson autotype 远程代码执行漏洞
2017-12-11
综述
Fastjson于今年3月份曝出一个远程代码执行漏洞,官方随后通过默认关闭autotype功能和开启黑名单解决了该漏洞,但近日有研究人员发现该黑名单存在一定限制,在开启autotype功能后可以通过改变相关类名来绕过黑名单,从而实现远程代码执行。
相关链接:
https://mp.weixin.qq.com/s/Um28TlF6tLuPXP-PfgkpNw
https://github.com/alibaba/fastjson/wiki/security_update_20170315
受影响的版本
若autotype功能开启,则全版本均受影响
解决方案
Fastjson官方在1.2.24版本后默认关闭autotype功能,请用户确保该功能关闭,并随时关注fastjson官方最新消息。
参考链接:
https://github.com/alibaba/fastjson
声 明
本安全公告仅用来描述可能存在的安全问题,js1996官网登录不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,js1996官网登录以及安全公告作者不为此承担任何责任。js1996官网登录拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经js1996官网登录允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。