fastjson 远程代码执行 爆 poc 了

2017-05-24 23:38:51 +08:00
 shengqi158

在 V2EX 上以前有 fastjson 爆出远程代码执行的漏洞的简单描述

2017 年 3 月 15 日,Fastjson 官方发布安全公告,该公告介绍 fastjson 在 1.2.24 以及之前版本存在代码执行漏洞代码执行漏洞,恶意攻击者可利用此漏洞进行远程代码执行,从而进一步入侵服务器,目前官方已经发布了最新版本,最新版本已经成功修复该漏洞。 具体漏洞详情如下: https://www.v2ex.com/t/348227#reply20

现在 poc 已经公布了

微博上有详情: http://weibo.com/1900013681/profile?topnav=1&wvr=6&is_all=1&is_search=1&key_word=fastjson%20%E8%BF%9C%E7%A8%8B%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96poc%E7%9A%84%E6%9E%84%E9%80%A0%E5%92%8C%E5%88%86%E6%9E%90%20%E5%9C%A81.7#_0

4036 次点击
所在节点    问与答
6 条回复
anoymoux
2017-05-24 23:50:20 +08:00
村通网?
shengqi158
2017-05-24 23:52:08 +08:00
@anoymoux 啥?
slixurd
2017-05-25 00:38:05 +08:00
@anoymoux
肯定没看微博内容....
虽然这个漏洞早就爆出来了
但是一直没有人给出如何利用漏洞的 POC
virusdefender
2017-05-25 01:24:29 +08:00
虽然没有公开的,但是私下的 poc 得有一个月了吧。。
shengqi158
2017-05-25 09:56:47 +08:00
@virusdefender 我当时公开这个 poc 的时候就是 5 月初
shengqi158
2017-05-25 09:57:45 +08:00
@slixurd 不看帖发帖的人还挺多,哈哈

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/363588

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX