Fastjson 反序列化漏洞通告

发布日期：2022-5-23

漏洞描述

Fastjson由阿里巴巴开发的开源JSON解析库，由JAVA语言编写。Fastjson可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点，应用范围广泛。

对此，禹宏信安建议广大用户及时将Fastjson升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

漏洞编号

暂无

漏洞危害

在Fastjson 1.2.80及以下版本中存在反序列化漏洞，攻击者可以在特定条件下绕过默认autoType关闭限制，从而反序列化有安全风险的类。该漏洞允许远程攻击者在目标机器上执行任意代码。

漏洞等级

高危

受影响版本

Fastjson≤1.2.80

修复方案

目前官方已在最新版本1.2.83中修复了该漏洞，请受影响的用户尽快升级版本进行防护，官方下载链接：

https://github.com/alibaba/fastjson/releases

升级步骤如下：

1.备份原fastjson依赖库，避免升级失败的情况发生。

2.将低版本的fastjson库替换为1.2.83版本。

临时防护措施

若相关用户暂时无法进行升级操作，也可使用下列方式进行缓解：

由于autotype开关的限制可被绕过，请受影响用户升级fastjson至1.2.68及以上版本，通过开启safeMode配置完全禁用autoType。

参考链接

https://github.com/alibaba/fastjson/wiki/security_update_20220523