Fastjson远程拒绝服务漏洞安全通告
发布时间 2019-09-05●漏洞编号和级别
CVE编号:暂无,危险级别:高危,CVSS分值:官方未评定
●影响版本
受影响的版本
Fastjson 1.2.60以下版本
●漏洞概述
Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,由于具有执行效率高的特点,应用范围很广。
Fastjson 1.2.60版本以下存在字符串解析异常,可导致远程拒绝服务攻击。攻击者即可通过精心构造的请求包对使用Fastjson的服务器造成远程拒绝服务攻击,使服务器CPU/RAM过载,导致服务器宕机。
●漏洞验证
暂无POC/EXP。
●修复建议
升级Fastjson到1.2.60版本:https://github.com/alibaba/fastjson。
●参考链接
https://github.com/alibaba/fastjson
京公网安备11010802024551号