请选择 进入手机版 | 继续访问电脑版
查看: 3734|回复: 0

Fastjson 远程代码执行漏洞安全风险通告

[复制链接]
匿名
匿名  发表于 2022-5-24 13:19:52 |阅读模式
近日,红客联盟监测到 Fastjson 远程代码执行漏洞,在 Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType 关闭限制,从而反序列化有安全风险的类。在特定条件下这可能导致远程代码执行。鉴于该漏洞影响范围极大,建议客户尽快做好自查及防护。


漏洞名称
Fastjson 远程代码执行漏洞
公开时间
2022-05-23
更新时间
2022-05-23
CVE编号
暂无
其他编号
QVD-2022-7654
威胁类型
代码执行
技术类型
不可信数据的反序列化
厂商
Alibaba
产品
Fastjson
风险等级
风险评级
风险等级
高危
蓝色(一般事件)
现时威胁状态
POC状态
EXP状态
在野利用状态
技术细节状态
未发现
未发现
未发现
未公开
漏洞描述
Fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON字符串,也可以从 JSON 字符串反序列化到 JavaBean。
  在 Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType 关闭限制,从而反序列化有安全风险的类。
影响版本
Fastjson <= 1.2.80
不受影响版本
Fastjson 1.x >= 1.2.83
Fastjson 2.x
其他受影响组件
依赖Fastjson的组件


1、版本升级

目前Fastjson已发布修复版本,用户可升级至最新版本 Fastjson 1.2.83:https://github.com/alibaba/Fastjson/releases/tag/1.2.83

Fastjson 2的AutoType没有内置白名单,必须显式打开才能使用。故用户可以升级至 Fastjson v2 版本:https://github.com/alibaba/Fastjson2/releases


2、缓解措施

在Fastjson 1.2.68 版本及之后的版本可通过开启safeMode 功能来关闭autoType功能从而杜绝反序列化 Gadgets 类变种攻击。
开启方法请参见:https://github.com/alibaba/Fastjson/wiki/Fastjson_safemode
需要注意的是开启该功能后,将不支持autoType,可能会对业务产生影响。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表