安全公告/【CVE-2023-24998】

基本信息

漏洞描述

FastJSON是一个Java 语言实现的 JSON 解析器和生成器。Fastjson 存在远程代码执行漏洞，该漏洞是由于使用org.apache.xbean.propertyeditor.JndiConverter类，绕过了Fastjson的黑名单而导致。 当服务端加载了存在受漏洞影响的xbean-reflect依赖，并且开启了Fastjson的autotype时，远程攻击者可以通过构造的攻击代码触发远程代码执行漏洞，最终可以获取到服务器的控制权限。

修复方式

开启了autoType功能的受影响用户可通过关闭autoType来规避风险（autoType功能默认关闭）
建议将JDK升级到最新版本。
autoType关闭方法如下：
方法一：在项目源码中全文搜索如下代码，找到并将此行代码删除：
ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
方法二：在JVM中启动项目时，切勿添加以下参数：
-Dfastjson.parser.autoTypeSupport=true

漏洞判定

版本比对检测原理：检查当前系统中FastJSON版本是否小于等于1.2.62|版本比对检测结果：- fastjson
  当前安装版本：1.1.24
  应用相关信息：
  - 进程PID：22589
  - 应用路径：/app/fsvcweb/FSvcWeb/webapps/ROOT/WEB-INF/lib/fastjson-1.1.24.jar
该主机存在此漏洞

参考

--