【漏洞详情】
开源JSON解析库 fastjson <1.2.51版本存在远程代码执行漏洞,通过发送精心构造的恶意序列化数据到服务器端即可触发反序列化解析漏洞,导致服务器远程任意代码执行,成功攻击后可造成服务器被入侵和业务数据泄露,漏洞风险较高。
【风险评级】
高危
【影响范围】
fastjson version < 1.2.51
【修复建议】
建议受影响用户综合评估漏洞风险和业务影响,可通过升级fastjson组件修复此漏洞
建议升级fastjson到最新版本1.2.58,下载地址:https://github.com/alibaba/fastjson/releases/tag/1.2.58
【参考链接】
https://github.com/alibaba/fastjson/wiki/update_faq_20190722
特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照,防止出现意外。
平安云
2019年7月11日