漏洞描述

FastJson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。

漏洞编号

无

漏洞危害

攻击者即可通过精心构造的请求包对使用FastJson的服务器造成远程拒绝服务攻击，可导致服务器宕机。

漏洞等级

高危
受影响版本

FastJson < 1.2.60版本

修复方案

禹宏信安建议广大用户对自身的业务/产品进行组件自查，防止自身业务受到攻击。

1.1.15-1.1.31版本更新到1.1.31.sec07版本

1.1.32-1.1.33版本更新到1.1.33.sec06版本

1.1.34 版本更新到1.1.34.sec06版本

1.1.35-1.1.46版本更新到1.1.46.sec06版本

1.2.3-1.2.7版本更新到1.2.7.sec06版本或1.2.8.sec04版本

1.2.8 版本更新到1.2.8.sec06版本

1.2.9-1.2.29 版本更新到1.2.29.sec06版本

建议尽可能使用Jackson或者Gson