安全公告/【CVE-2023-24998】

基本信息

漏洞名称:FastJSON<1.2.58 远程代码执行漏洞
受影响操作系统:Asianux release 2.0 (Trinity SP2)
危险等级:超危
影响源码包:FastJSON
CVSS评分:9
发现日期:2024-03-29
修复版本:

漏洞描述

FastJSON是一个Java 语言实现的 JSON 解析器和生成器。FastJSON存在远程代码执行漏洞,恶意攻击者可以构造攻击请求绕过FastJSON的黑名单策略。通过精心构造的请求,远程让服务端执行指定命令。

修复方式

将 FastJSON 升级到 1.2.58 及以上版本,下载地址:https://mvnrepository.com/artifact/com.alibaba/fastjson

漏洞判定

版本比对检测原理:检查当前系统中FastJSON版本是否小于1.2.58|版本比对检测结果:- fastjson
  当前安装版本:1.2.44
  应用相关信息:
  - 进程PID:20348
  - 应用路径:/home/weblogic/user_projects/domains/provdomain/WebRoot/WEB-INF/lib/fastjson-1.2.44.jar
该主机存在此漏洞

补丁

参考

--