安全公告/【CVE-2017-18349】

基本信息

漏洞描述

fastjson是一个java编写的高性能功能非常完善的JSON库，应用范围非常广，在github上star数都超过8k，在2017年3月15日，fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 fastjson在解析json的过程中，支持使用autoType来实例化某一个具体的类，并通过json来填充其属性值。而JDK自带的类com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl中有一个私有属性_bytecodes，其部分方法会执行这个值中包含的Java字节码。

修复方式

将 FastJSON 升级到 1.2.25 及以上版本，下载地址：https://github.com/alibaba/fastjson/releases

漏洞判定

版本比对检测原理：检查当前系统中FastJSON版本是否在受影响版本内|版本比对检测结果：- fastjson
  当前安装版本：1.1.32
  应用相关信息：
  - 进程PID：8245
  - 应用路径：/home/weblogic/apache-tomcat-7.0.94/webapps/WebReport/WEB-INF/plugins/plugin-com.fr.plugin.mobile.push-1.1/lib/fastjson-1.1.32.jar
该主机存在此漏洞

参考

CVE-2017-18349，，CWE-20，CNNVD-201810-1186