更新时间:2025-05-28 GMT+08:00
开源组件Fastjson远程代码执行漏洞
2019年07月12日,华为云应急响应中心检测到开源组件Fastjson存在远程代码执行漏洞,此漏洞为2017年Fastjson 1.2.24版本反序列化漏洞的延伸利用,可直接获取服务器权限,危害严重。
影响的版本范围
漏洞影响的产品版本包括:Fastjson 1.2.51以下的版本,不包括Fastjson 1.2.51版本。
安全版本
Fastjson 1.2.51版本及以上的版本。
官方解决方案
建议用户将开源组件Fastjson升级到1.2.51版本或者最新的1.2.58版本。
防护建议
华为云Web应用防火墙内置的防护规则支持对该漏洞的防护,参照以下步骤进行防护:
- 购买WAF。
- 将网站域名添加到WAF中并完成域名接入,详细操作请参见将网站接入WAF防护(云模式-CNAME接入)。
- 将Web基础防护动作设置为“拦截”模式,详细操作请参见配置Web基础防护规则。
防护效果验证
完成上述配置后,您可以模拟开源组件Fastjson远程代码执行漏洞攻击后,返回WAF控制台,在左侧导航栏,单击“防护事件”,查看请求是否被拦截。
