开源组件Fastjson拒绝服务漏洞
更新时间 2023-12-28 11:45:12
最近更新时间: 2023-12-28 11:45:12
开源组件Fastjson拒绝服务漏洞,攻击者可以利用该漏洞,构造恶意请求发给使用了Fastjson的服务器,使其内存和CPU耗尽,最终崩溃,造成用户业务瘫痪。本章节介绍开源组件Fastjson拒绝服务漏洞的最佳实践。
漏洞简介
攻击者可以利用该漏洞,构造恶意请求发给使用了Fastjson的服务器,使其内存和CPU耗尽,最终崩溃,造成用户业务瘫痪。
影响的版本范围
漏洞影响的产品版本包括:Fastjson 1.2.60以下版本,不包括Fastjson 1.2.60版本。
安全版本
Fastjson 1.2.60版本。
官方解决方案
建议用户将开源组件Fastjson升级到1.2.60版本。
防护建议
WAF支持对该漏洞的检测和防护,步骤如下:
步骤 1 申请WAF独享引擎。
步骤 2 将网站域名添加到WAF中并完成域名接入,详细操作请参见网站接入WAF。
步骤 3 将Web基础防护的状态设置为“拦截”模式,详细操作请参见配置Web基础防护规则。
