• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 其他
  • -
    • Fastjson 服務(wù)端請求偽造漏洞
    • CNNVD編號:未知
    • 危害等級: 中危 
    • CVE編號:未知
    • 漏洞類型: 服務(wù)端請求偽造
    • 威脅類型:遠程
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2021-05-11
    • 更新時間:2021-05-18

    漏洞簡介

    1、組件介紹

    Fastjson是一個Java語言編寫的高性能功能完善的JSON庫。它采用一種“假定有序快速匹配”的算法,把JSON Parse的性能提升到極致,是目前Java語言中最快的JSON庫。Fastjson接口簡單易用,已經(jīng)被廣泛使用在緩存序列化、協(xié)議交互、Web輸出、Android客戶端等多種應(yīng)用場景。

    2、漏洞描述

    2021年5月6日,深信服安全團隊監(jiān)測到一則Fastjson組件存在SSRF漏洞的信息,漏洞編號:暫無,漏洞威脅等級:中危。

    該漏洞是由于Fastjson與json-lib或org.json庫共用使用不當造成,攻擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意數(shù)據(jù)進行SSRF攻擊,最終造成服務(wù)器敏感性信息泄露。

    漏洞公示

      搭建Fastjson組件1.2.76版本環(huán)境,復(fù)現(xiàn)該漏洞,效果如下:


    參考網(wǎng)站

    暫無

    受影響實體

       Fastjson 接口簡單易用,已經(jīng)被廣泛使用在緩存序列化、協(xié)議交互、Web輸出、Android客戶端等多種應(yīng)用場景。目前該項目在Github上已有近24K的star數(shù)量,當前曝出的漏洞雖說是中危,但涉及用戶量過多,導致漏洞影響力還是很大。

        目前受影響的Fastjson版本:

        Fastjson  <= 1.2.76

    補丁

    1、官方修復(fù)建議

    當前官方暫未發(fā)布受影響版本的對應(yīng)補丁,建議受影響的用戶及時關(guān)注官方最新安全通告與版本。鏈接如下:

    https://github.com/alibaba/fastjson

    2、臨時修復(fù)建議

    建議受影響客戶升級Fastjson至1.2.68版本或以上版本,開啟SafeMode功能,具體操作見官方文檔:

    https://github.com/alibaba/fastjson/wiki/fastjson_safemod

    3、深信服解決方案

    深信服下一代防火墻】可防御此漏洞,建議用戶將深信服下一代防火墻開啟IPS /WAF防護策略,并更新最新安全防護規(guī)則,即可輕松抵御此高危風險。

    深信服安全感知平臺】結(jié)合云端實時熱點高危/緊急漏洞信息,可快速檢出業(yè)務(wù)場景下的該漏洞,并可聯(lián)動【深信服下一代防火墻等產(chǎn)品】實現(xiàn)對攻擊者IP的封堵。