Fastjson caucho-quercus远程代码执行漏洞风险通告
发布时间 2020-03-23漏洞编号和级别
CVE编号:暂无,危险级别:高危,CVSS分值:官方未评定
影响版本
Fastjson<1.2.67
漏洞概述
Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到极致,是目前Java语言中最快的JSON库。Fastjson接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。
Fastjson远程代码执行漏洞是由于使用com.caucho.config.types.ResourceRef类,绕过了Fastjson1.2.66及以前版本的黑名单而导致。当服务端加载了存在受漏洞影响的resin依赖,并且开启了Fastjson的autotype时,远程攻击者可以通过构造的攻击代码触发远程代码执行漏洞,最终可以获取到服务器的控制权限。
漏洞验证
暂无PoC/EXP。
修复建议
1.Alibaba发布的最新版本Fastjson1.2.67已经防御此漏洞,请受漏洞影响的用户下载最新版本。下载链接:https://github.com/alibaba/fastjson。
2.Fastjson默认关闭autotype,如果项目中不需要该功能,可以删除以下代码:
ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
参考链接
https://github.com/alibaba/fastjson