Fastjson 官方发布公告称在 1.2.80 及以下版本中 存在新的反序列化风险,在特定条件下可绕过默认 autoType 关闭限制,从而反序列化有安 全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行。
Fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。由于具 有执行效率高的特点,应用范围广泛。
受影响版本:Fastjson ≤ 1.2.80
同时IPS库已有规则可识别并阻断。规则id:32389 (Fastjson远程代码执行漏洞)。与该规则最早发布时解决的虽然不是同一个问题,但是根据漏洞利用方法及原理分析,针对之前的问题的检测与防护方法同样适用于这次的漏洞,所以可以起到防护作用。
设备上查看特征ID 32389 显示是2018年发布的,请问和这次的问题同一个问题吗?
(0)
不是同一个问题,是根据漏洞利用方法及原理分析,针对之前的问题的检测与防护方法同样适用于这次的漏洞,所以可以起到防护作用。
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作