最新!Fastjson 反序列化高危漏洞!

1#漏洞概述
近日Fastjson Develop Team 发现 fastjson 1.2.80及以下存在新的风险,攻击者可以利用该漏洞攻击远程服务器, 可能会造成任意命令执行。

Fastjson 是一个 Java 库,可用于将 Java 对象转换为其 JSON字符串表示形式, 还可用于将 JSON 字符串转换为等效的 Java 对象。

2#影响版本
  • Fastjson <= 1.2.80 均受影响

3#漏洞细节
CVE编号:暂无
漏洞类型:任意命令执行
漏洞级别:高危

利用条件:无权限要求
交互要求:0 Click
Poc:暂未公开
在野利用:未发现

4#漏洞修复
三种修复方案(请根据业务,选择合适的方案进行修复):

4.1、升级到最新版本1.2.83
https://github.com/alibaba/fastjson/releases/tag/1.2.83

4.2、safeMode加固

Fastjson 在1.2.68及之后的版本中引入了safeMode,配置 safeMode后,无论白名单和黑名单,都不支持 autoType,可杜绝反序列化 Gadgets 类变种攻击(关闭 autoType 注意评估对业务的影响)。
参考链接如下:
https://github.com/alibaba/fastjson/wiki/security_update_20220523

4.3、升级至 Fastjson v2

Fastjson v2地址:
https://github.com/alibaba/fastjson2/releases
fastjson已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。fastjson v2代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做认真的兼容测试。升级遇到问题,可以在https://github.com/alibaba/fastjson2/issues 寻求帮助。
本博客所有文章如无特别注明均为原创。作者:渊龙Sec团队复制或转载请以超链接形式注明转自 渊龙Sec团队博客
原文地址《最新!Fastjson 反序列化高危漏洞!
分享到:更多

相关推荐

发表评论

路人甲 表情
看不清楚?点图切换 Ctrl+Enter快速提交

网友评论(0)