[漏洞预警]FastJson < 1.2.48 远程代码执行漏洞

漏洞描述

常用JSON组件FastJson存在远程代码执行漏洞，攻击者可通过精心构建的json报文对目标服务器执行任意命令，从而获得服务器权限。此次爆发的漏洞为以往漏洞中autoType的绕过。

影响范围

FastJson < 1.2.48

漏洞验证

使用JNDI配合RMI&LDAP二阶注入或者字节码本地注入即可
字节码本地注入可以不受JDK修复限制且不受目标机器网络环境限制，此种利用方式对于攻击者更为有利

JNDI二阶注入 JNDI二阶注入 字节码本地注入

修复建议

FastJson版本 升级到1.2.51 或者 1.2.58

鸣谢

asiainfo-sec Sommous