安全公告/【CVE-2017-18349】
基本信息
漏洞名称:FastJSON<= 1.2.24 反序列化导致任意命令执行漏洞(CVE-2017-18349)
受影响操作系统:Asianux Server 3 (Quartet SP3)
危险等级:超危
影响源码包:FastJSON
CVSS评分:9.8
发现日期:2024-03-29
漏洞描述
fastjson是一个java编写的高性能功能非常完善的JSON库,应用范围非常广,在github上star数都超过8k,在2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并通过json来填充其属性值。而JDK自带的类com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl中有一个私有属性_bytecodes,其部分方法会执行这个值中包含的Java字节码。
修复方式
将 FastJSON 升级到 1.2.25 及以上版本,下载地址:https://github.com/alibaba/fastjson/releases
漏洞判定
版本比对检测原理:检查当前系统中FastJSON版本是否在受影响版本内|版本比对检测结果:- fastjson 当前安装版本:1.1.32 应用相关信息: - 进程PID:8245 - 应用路径:/home/weblogic/apache-tomcat-7.0.94/webapps/WebReport/WEB-INF/plugins/plugin-com.fr.plugin.mobile.push-1.1/lib/fastjson-1.1.32.jar 该主机存在此漏洞
参考
CVE-2017-18349,,CWE-20,CNNVD-201810-1186