Print

安全产品是否涉及Fastjson 反序列化漏洞

2小时前 发表

问题描述

Fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列 化到 JavaBean。 

在 Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依 赖下利用此漏洞绕过默认autoType 关闭限制,从而反序列化有安全风险的类, 对服务器造成危害。


解决方法

防火墙、LB、IPS不涉及。

堡垒机不涉及。

数据库审计系统不涉及