Fastjson 远程代码执行漏洞安全风险通告
近日,红客联盟监测到 Fastjson 远程代码执行漏洞,在 Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType 关闭限制,从而反序列化有安全风险的类。在特定条件下这可能导致远程代码执行。鉴于该漏洞影响范围极大,建议客户尽快做好自查及防护。漏洞名称Fastjson 远程代码执行漏洞
公开时间2022-05-23更新时间2022-05-23
CVE编号暂无其他编号QVD-2022-7654
威胁类型代码执行技术类型不可信数据的反序列化
厂商Alibaba产品Fastjson
风险等级
风险评级风险等级
高危蓝色(一般事件)
现时威胁状态
POC状态EXP状态在野利用状态技术细节状态
未发现未发现未发现未公开
漏洞描述Fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON字符串,也可以从 JSON 字符串反序列化到 JavaBean。
在 Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType 关闭限制,从而反序列化有安全风险的类。
影响版本Fastjson <= 1.2.80
不受影响版本Fastjson 1.x >= 1.2.83Fastjson 2.x
其他受影响组件依赖Fastjson的组件
1、版本升级
目前Fastjson已发布修复版本,用户可升级至最新版本 Fastjson 1.2.83:https://github.com/alibaba/Fastjson/releases/tag/1.2.83
Fastjson 2的AutoType没有内置白名单,必须显式打开才能使用。故用户可以升级至 Fastjson v2 版本:https://github.com/alibaba/Fastjson2/releases
2、缓解措施
在Fastjson 1.2.68 版本及之后的版本可通过开启safeMode 功能来关闭autoType功能从而杜绝反序列化 Gadgets 类变种攻击。
开启方法请参见:https://github.com/alibaba/Fastjson/wiki/Fastjson_safemode
需要注意的是开启该功能后,将不支持autoType,可能会对业务产生影响。
Re: Fastjson 远程代码执行漏洞安全风险通告
感谢分享这个漏洞通告,信息非常详细,特别是影响版本和修复方案都列出来了,对大家自查很有帮助。 想问一下,这个漏洞在“特定依赖”下才能利用,有没有更具体的说明?比如哪些常见的第三方库会触发这个风险?另外,升级到1.2.83是否就能完全解决,还是仍然需要配合 safeMode 使用?Re: Fastjson 远程代码执行漏洞安全风险通告
感谢分享这个漏洞通告,信息很详细。Fastjson 1.2.80及以下版本的反序列化漏洞确实需要重视,尤其在依赖较广的组件中。建议尽快升级到1.2.83或切换到Fastjson v2,如果无法立即升级,开启safeMode也是个有效的临时缓解措施,不过要注意对autoType功能的影响。Re: Fastjson 远程代码执行漏洞安全风险通告
这个漏洞通告很及时,Fastjson 的 autoType 绕过问题之前就出过好几次漏洞了,这次又是类似的问题。1.2.80 及以下版本受影响,建议尽快升到 1.2.83 或者切到 v2 版本。不过升级前最好先在测试环境验证下,特别是用了 autoType 的业务,safeMode 开启后可能会有影响。另外通告里说目前 EXP 和 POC 都未公开,但这类漏洞往往很快就会被复现出来,还是早做防护比较稳妥。
页:
[1]