一个关于FastJson的高危漏洞

最近了解到一个关于FastJson的高危漏洞,在此列出来,给各位开发者提个醒。希望有用到该版本的开发者,及时升级版本,避免受到影响。

具体漏洞情况如下,当FastJson版本低于1.2.49时,将json字符串泛解析为java对象的时候,在某些特定值的情况下。会导致长时间的阻塞(根据具体的CPU计算性能决定,时间长达几分钟)cup占用率飙升。

涉及到的地方包括:

  • 1.调用JSON.parseObject()方法。
  • 2.使用@RequestBody 并且 HttpMessageConverter 为FastJson 的时候。

且导致这一现象的代价微乎其微,效果堪比DDOS,由于该漏洞的具体细节,目前只是在小范围内传播,而且涉及范围过广,所以在此我也就不公布具体的漏洞细节了。

官方已在1.2.49及以后的版本中修复这一漏洞。

希望有用到1.2.49以下版本的同学尽快升级

本文作者: 张未