【安全通报】fastjson 远程代码执行漏洞

Fastjson 是一个Java 语言编写的高性能功能完善的 JSON 库。 它采用一种“假定有序快速匹配”的算法，把 JSON Parse 的性能提升到极致，是目前 Java 语言中最快的 JSON 库。 Fastjson 接口简单易用，已经被广泛使用在缓存序列化、协议交互、Web 输出、Android 客户端等多种应用场景。 近日，白帽汇安全研究院监测到 fastjson 官方发布新版本，修补了一个反序列化远程代码执行漏洞。远程攻击者可利用该漏洞绕过 autoType 限制，进而可在目标服务器上执行任意命令。鉴于该漏洞影响较大，建议客户尽快自查修复。 漏洞描述.



Source link