更新时间:2023-12-12 GMT+08:00

简介

问题描述

Fastjson披露存在一处反序列化远程代码执行漏洞,漏洞影响所有1.2.80及以下版本,成功利用漏洞可绕过autoType限制,实现远程任意执行代码。

影响风险

存在漏洞的业务被攻击时,将可能导致攻击者远程在业务平台中执行任意代码。

预防与建议

在产品未发布对应解决方案前,建议您参考以下的相关预防措施。

  1. 加固物理设备安全边界,防止外网直接访问及攻击内网管理平面。
  2. 排查平台各组件节点是否使用默认密码,如果有,建议修改新密码。
  3. 加强环境管理面账户密码管控,确保不泄露不扩散。
  4. 部分安全厂商已经提供了针对该漏洞的预防措施,您可联系对应的安全厂商,通过在安全设备上设置拦截规则来预防此类攻击。