[漏洞预警]FastJson < 1.2.48 远程代码执行漏洞

漏洞描述

常用JSON组件FastJson存在远程代码执行漏洞,攻击者可通过精心构建的json报文对目标服务器执行任意命令,从而获得服务器权限。此次爆发的漏洞为以往漏洞中autoType的绕过。

影响范围

FastJson < 1.2.48

漏洞验证

使用JNDI配合RMI&LDAP二阶注入或者字节码本地注入即可
字节码本地注入可以不受JDK修复限制且不受目标机器网络环境限制,此种利用方式对于攻击者更为有利

JNDI二阶注入
JNDI二阶注入
字节码本地注入

修复建议

FastJson版本 升级到1.2.51 或者 1.2.58

鸣谢

asiainfo-sec Sommous

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容