安全公告/【CVE-2023-21979】
基本信息
漏洞名称:FastJSON<=1.2.62 远程代码执行漏洞
受影响操作系统:Asianux release 2.0 (Trinity SP2)
危险等级:高危
影响源码包:FastJSON
CVSS评分:8
发现日期:2024-03-29
漏洞描述
FastJSON是一个Java 语言实现的 JSON 解析器和生成器。Fastjson 存在远程代码执行漏洞,该漏洞是由于使用org.apache.xbean.propertyeditor.JndiConverter类,绕过了Fastjson的黑名单而导致。 当服务端加载了存在受漏洞影响的xbean-reflect依赖,并且开启了Fastjson的autotype时,远程攻击者可以通过构造的攻击代码触发远程代码执行漏洞,最终可以获取到服务器的控制权限。
修复方式
开启了autoType功能的受影响用户可通过关闭autoType来规避风险(autoType功能默认关闭) 建议将JDK升级到最新版本。 autoType关闭方法如下: 方法一:在项目源码中全文搜索如下代码,找到并将此行代码删除: ParserConfig.getGlobalInstance().setAutoTypeSupport(true); 方法二:在JVM中启动项目时,切勿添加以下参数: -Dfastjson.parser.autoTypeSupport=true
漏洞判定
版本比对检测原理:检查当前系统中FastJSON版本是否小于等于1.2.62|版本比对检测结果:- fastjson 当前安装版本:1.2.44 应用相关信息: - 进程PID:20348 - 应用路径:/home/weblogic/user_projects/domains/provdomain/WebRoot/WEB-INF/lib/fastjson-1.2.44.jar 该主机存在此漏洞
参考
--