Fastjson远程拒绝服务漏洞安全通告

发布时间 2019-09-05

●漏洞编号和级别


CVE编号:暂无,危险级别:高危,CVSS分值:官方未评定


影响版本


受影响的版本


Fastjson 1.2.60以下版本


漏洞概述


Fastjson是alibaba的开源JSON解析库,它可以解析JSON格式的字符串,支撑将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,由于具有实行效率高的特点,应用范围很广。


Fastjson 1.2.60版本以下存在字符串解析异常,可导致远程拒绝服务攻击。攻击者即可通过精心构造的请求包对使用Fastjson的服务器造成远程拒绝服务攻击,使服务器CPU/RAM过载,导致服务器宕机。


漏洞验证


暂无POC/EXP。


修复建议


升级Fastjson到1.2.60版本:https://github.com/alibaba/fastjson。


参考链接


https://github.com/alibaba/fastjson