一、漏洞概况
Fastjson 1.2.80 反序列化漏洞情报,攻击者可以在特定条件下可绕过默认 autoType 关闭限制,从而反序列化有安全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行。Fastjson 是一个 Java 库,可用于将 Java 对象转换为其 JSON字符串表示形式, 还可用于将 JSON 字符串转换为等效的 Java 对象。
二、漏洞评估
公开程度:未发现在野利用
利用条件:无权限要求
交互要求:0 Click
漏洞危害:高危、任意命令执行
影响范围:Fastjson ≤ 1.2.80
三、修复方案
1、建议升级到最新版本1.2.83:
https://github.com/alibaba/fastjson/releases/tag/1.2.83
2、safeMode加固:
Fastjson 在1.2.68及之后的版本中引入了safeMode,配置 safeMode后,无论白名单和黑名单,都不支持 autoType,可杜绝反序列化 Gadgets 类变种攻击(关闭 autoType 注意评估对业务的影响)。
参考链接:https://github.com/alibaba/fastjson/wiki/security_update_20220523
3、升级至 Fastjson v2:
Fastjson v2地址:https://github.com/alibaba/fastjson2/releases
最新评论