Fastjson 是一個 JSON 解析庫,存在反序列化漏洞。攻擊者可以通過構造惡意的 JSON 數據,使 Fastjson 解析時觸發漏洞,導致遠程代碼執行。
解決方法如下:
升級 Fastjson 到最新版本。Fastjson 1.2.68 及以上版本已經修復了漏洞。
使用白名單過濾。Fastjson 提供了白名單機制,可以限制反序列化時可以解析的類型,從而避免惡意序列化數據導致的安全問題。
避免使用不可信的 JSON 數據。盡量避免使用來自不可信來源的 JSON 數據,特別是包含了反序列化的操作。
加強安全審計。對于使用了 Fastjson 的應用,需要加強安全審計,及時發現和修復漏洞。
