Fastjson 反序列化漏洞通告
发布日期:2022-5-23
漏洞描述
Fastjson由阿里巴巴开发的开源JSON解析库,由JAVA语言编写。Fastjson可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点,应用范围广泛。
对此,禹宏信安建议广大用户及时将Fastjson升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
漏洞编号
暂无
漏洞危害
在Fastjson 1.2.80及以下版本中存在反序列化漏洞,攻击者可以在特定条件下绕过默认autoType关闭限制,从而反序列化有安全风险的类。该漏洞允许远程攻击者在目标机器上执行任意代码。
漏洞等级
高危
受影响版本
Fastjson≤1.2.80
修复方案
目前官方已在最新版本1.2.83中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:
https://github.com/alibaba/fastjson/releases
升级步骤如下:
1.备份原fastjson依赖库,避免升级失败的情况发生。
2.将低版本的fastjson库替换为1.2.83版本。
临时防护措施
若相关用户暂时无法进行升级操作,也可使用下列方式进行缓解:
由于autotype开关的限制可被绕过,请受影响用户升级fastjson至1.2.68及以上版本,通过开启safeMode配置完全禁用autoType。
参考链接
https://github.com/alibaba/fastjson/wiki/security_update_20220523