专业建站系统 - 打造最好的网站内容系统!

http://nyhaichuan.com

当前位置: 配资利息软件 > 互联网 > Java 库 fastjson 被曝存股票打板族是什么意思“高危”远程代码执行漏洞 Java 库 fastjson 被曝存股票打板族是什么意思“高危”远程代码执行漏洞

Java 库 fastjson 被曝存股票打板族是什么意思“高危”远程代码执行漏洞

时间:2020-06-03来源: 作者:admin点击:
首页>软件之家>软件快报 Java库fastjson被曝存“高危”远程代码执行漏洞2020/5/3114:37:17来源:开源中国作者:-责编:骑士 fastjson当前版本为 1.2.68 发布于3月底,日前某安全运营中心监测到,fastjson<

首页>软件之家>软件快报

Java 库 fastjson 被曝存“高危”长途代码执行裂缝2020/5/31 14:37:17来历:开源中国作者:-责编:骑士

fastjson 当前版本为 1.2.68 宣告于 3 月尾,股票打板族是什么意思日前某安详运营中间监测到,fastjson <= 1.2.68 版本存在长途代码执行裂缝,长峰科技股票裂缝被操作可直接猎取处事器权限。360CERT 将裂缝品级定为“高危”。

该长途代码执行裂缝道理是,autotype 开关的限定可以被绕过,股票的图片链式反序列化进攻者可以通过全心结构反序列化操作链,终极达生长途呼吁执行。此裂缝自己没法绕过 fastjson 的黑名单限定,分散染料股票必要共同不在黑名单中的反序列化操作链才气完成完备的裂缝操作。

今朝 fastjson 官方还未宣告修复版本,行使者可以进级到 fastjson 1.2.68 版本,股票可立克并通过设置 ParserConfig.getGlobalInstance().setSafeMode(true) 参数开启 SafeMode 防护进攻,不外必要留神的是 safeMode 会完整禁用 autotype,疏忽白名单,必要评估对营业影响的。

详情可以查察:

https://cloud.tencent.com/announce/detail/1112

https://www.anquanke.com/post/id/207029

分享:

下载IT之家APP,分享赚金币换豪礼

相关文章

要害词:Java,裂缝

微信开辟 Java SDK:WxJava 3.8.0 正式版本宣告

外包的锅?苹果蓝牙掩护框架 MagicPairing 被爆显现 10 个0day裂缝未修复

那些想要更换 C 与 Java 们的后浪,现在混得怎么样?

首个运行 WebAssembly 的 Java 库 Wasmer JNI 显现了

黑客 5 分钟即可破解 Thunderbolt 端口,怎样自救?

Java 开辟器材 IntelliJ IDEA 2019.3.5 宣告

------分隔线----------------------------
相关内容
推荐内容