文档首页 > > 最佳实践> Web漏洞防护最佳实践> 开源组件Fastjson远程代码执行漏洞

开源组件Fastjson远程代码执行漏洞

分享
更新时间: 2019/10/21 GMT+08:00

2019年7月12日,华为云应急响应中心检测到开源组件Fastjson存在远程代码执行漏洞,此漏洞为2017年Fastjson 1.2.24版本反序列化漏洞的延伸利用,可直接获取服务器权限,危害严重。

影响的版本范围

漏洞影响的产品版本包括:Fastjson 1.2.51以下的版本,不包括Fastjson 1.2.51版本。

安全版本

Fastjson 1.2.51版本及以上的版本。

官方解决方案

建议用户将开源组件Fastjson升级到1.2.51版本或者最新的1.2.58版本。

防护建议

华为云Web应用防火墙内置的防护规则支持对该漏洞的防护,参照以下步骤进行防护:

  1. 开通WAF
  2. 将网站域名添加到WAF中并完成域名接入,详细的操作请参见添加防护域名
  3. 将Web基础防护的状态设置为“拦截”模式,具体方法请参见配置Web基础防护规则

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区