为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】
FastJSON 是阿里巴巴开源的JSON解析库,它可以解析JSON格式的字符串,可将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。
经分析,由于 Fastjson 1.2.60 以下版本存在字符串解析异常,攻击者可利用该漏洞发送精心构造的恶意请求包到使用到 Fastjson 的服务器,使服务器内存、CPU等资源耗尽,导致服务不可用。
【风险等级】
高风险
【漏洞风险】
攻击者远程发送攻击包,导致服务器宕机或业务不可用
【影响版本】
Fastjson < 1.2.60
【修复建议】
1)升级到 Fastjson 1.2.60版本;
2)推荐采用 Jackson-databind 或者 Gson 等组件。
【备注】:低版本用户升级过程如遇到兼容问题,可升级到对应版本的 sec06 版本或更高版本进行解决。
【漏洞参考】