漏洞描述
FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
漏洞编号
无
漏洞危害
攻击者即可通过精心构造的请求包对使用FastJson的服务器造成远程拒绝服务攻击,可导致服务器宕机。
漏洞等级
高危
受影响版本
FastJson < 1.2.60版本
修复方案
禹宏信安建议广大用户对自身的业务/产品进行组件自查,防止自身业务受到攻击。
1.1.15-1.1.31版本更新到1.1.31.sec07版本
1.1.32-1.1.33版本更新到1.1.33.sec06版本
1.1.34 版本更新到1.1.34.sec06版本
1.1.35-1.1.46版本更新到1.1.46.sec06版本
1.2.3-1.2.7版本更新到1.2.7.sec06版本或1.2.8.sec04版本
1.2.8 版本更新到1.2.8.sec06版本
1.2.9-1.2.29 版本更新到1.2.29.sec06版本
建议尽可能使用Jackson或者Gson