【安全预警】关于开源JSON解析库 fastjson <1.2.51版本远程代码执行漏洞的通知
摘要:
尊敬的腾讯云客户,您好:
近日,腾讯云安全中心 监测到 开源JSON解析库 fastjson <1.2.51版本被爆存在远程代码执行漏洞,该漏洞被攻击者利用可造成服务器被入侵和业务数据被窃取,目前漏洞已有在野利用。
【风险等级】
高风险
【安全版本】
fastjson version >= 1.2.51
为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】
当用户提交一个精心构造的恶意数据到服务器端,fastjson在反序列化解析该数据时触发漏洞,导致服务器远程任意代码执行【风险等级】
高风险
【漏洞风险】
远程代码执行
【影响版本】
fastjson version < 1.2.51【安全版本】
fastjson version >= 1.2.51
【修复建议】
1)方案一:升级 fastjson,升级到最新版本1.2.58,下载地址:https://github.com/alibaba/fastjson/releases/tag/1.2.58
2)方案二:移除 fastjson,如需使用 json 解析库建议使用 gson 或 jackson-databind 等组件最新版本替换。
3)方案三:如果您无法采取方案一和方案二,您可以选用腾讯云Web应用防火墙 AI 防护功能,进行检测和防御。产品链接:https://cloud.tencent.com/product/waf
【漏洞参考】