关于Java Ghost Bits绕过WAF注入攻击的预警通报

近日，工作发现最新威胁：Java Ghost Bits绕过WAF注入攻击

此漏洞源于 JAVA 底层对 char 和 byte 编码的转换问题，将 char转换为 byte 时，高 8 位会被静默丢弃，只保留低 8 位，这一丢失的高位数据即被称为幽灵比特位(Ghost Bits)。攻击者通过精心构造unicode 编码字符 payload 传入 JAVA 后端，可绕过大部分基于字符特征匹配 WAF 检测，后端截断处理 unicode 的高位后还原初始预期的攻击载荷，实现注入等恶意攻击。

影响范围：

覆盖了 JAVA 生态的多个主流框架或组件，包括 Apache Tomcat、Apache Commons BCEL、Fastjson、Spring Framework、Angus Mail、Jackson Databind，Apache HttpClient 等，同时涉及影响如 GeoServer，Openfire，Spring4Shell 相关组件的历史高危漏洞利用场景。

官方修复建议：

请用户自查是否有业务处于受影响组件范围内，并关注和及时更新所涉及到的 JAVA 组件的最新版本。部分组件已发布最新版本修复该漏洞：GeoServer：需升级至 2.28.3 及以上版本；Apache HttpClient：需升级至 4.5.10 及以上版本，或 5.x 版本；Openfire：需升级至 5.0. 4 及以上版本；Fastjson：需升级至 2.x 系列高版本；Apache Commons BCEL：需升级至 6.12.0 及以上版本。

请各单位增强网络安全防护意识，立即排查产品使用情况，并督促指导受影响单位及时升级漏洞补丁，消除风险隐患。同时，加强网络安全监测,如发现遭攻击情况及时处置并报告。