漏洞名称
Fastjson 远程拒绝服务漏洞
影响版本
Fastjson 1.2.60 以下版本
漏洞详情
近日,腾讯云安全中心 监测到开源 JSON 解析库 Fastjson 1.2.60 以下版本存在字符串解析异常,攻击者可利用该漏洞,将精心构造的恶意请求包,发送至使用到 Fastjson 的服务器,耗尽服务器内存及 CPU 等资源,导致服务不可用。目前该漏洞相关利用代码已被公开,建议尽快升级处理。
官方修复建议
拒绝服务安全漏洞涉及之前所有 Fastjson 版本,建议将 Fastjson 升级到最新1.2.60版本。
防护建议
腾讯云 Web 应用防火墙攻击防护规则中,已经包含该漏洞的防护规则,操作步骤如下:
1. 登录 腾讯云 Web 应用防火墙控制台,在左侧导航栏中,选择 Web 应用防火墙 > 防护设置,在域名列表中,选择需要防护的域名,在操作栏单击 防护配置。n
2. 在基础设置页面,将 WAF 防护状态的“规则引擎”设置为拦截即可防御。n