fastjson<1.2.67 反序列化远程代码执行缝隙
2020-03-25 00:00:00
近日�,�,�,234钱包安全应急响应中心监控到fastjson官方颁布了最新版本1.2.67�,�,�,该版本修复了最新的反序列化远程代码执行缝隙�,�,�,补充了autoType安全黑名单�。�。�。若是用户有基于autoType黑名单方面式的利用�,�,�,建议尽快更新至1.2.67版本并实时关注官方安全动态�,�,�,预防损失�。�。�。
缝隙名称
fastjson<1.2.67 反序列化远程代码执行缝隙
缝隙危�:�:Φ燃
高危
缝隙描述
fastjson小于1.2.67的版本中�,�,�,若autoType打开(默认关闭)�,�,�,安全黑名单可被绕过�,�,�,导致反序列化缝隙利用成功�,�,�,从而实现远程号令执行�。�。�。
影响版本
Fastjson < 1.2.67
修复规划
更新到最新版本 1.2.67
Github地址:�:�:https://github.com/alibaba/fastjson/releases
参考链接
https://github.com/alibaba/fastjson/releases
北京234钱包网络技术有限公司
2020/03/25