近日Fastjson Develop Team 发现 fastjson 1.2.80及以下存在新的风险,攻击者可以利用该漏洞攻击远程服务器, 可能会造成任意命令执行。
Fastjson 是一个 Java 库,可用于将 Java 对象转换为其 JSON字符串表示形式, 还可用于将 JSON 字符串转换为等效的 Java 对象。
2#影响版本
- Fastjson <= 1.2.80 均受影响
3#漏洞细节
CVE编号:暂无
漏洞类型:任意命令执行
漏洞级别:高危
利用条件:无权限要求
交互要求:0 Click
Poc:暂未公开
在野利用:未发现
4#漏洞修复
三种修复方案(请根据业务,选择合适的方案进行修复):
4.1、升级到最新版本1.2.83
https://github.com/alibaba/fastjson/releases/tag/1.2.83
4.2、safeMode加固
Fastjson 在1.2.68及之后的版本中引入了safeMode,配置 safeMode后,无论白名单和黑名单,都不支持 autoType,可杜绝反序列化 Gadgets 类变种攻击(关闭 autoType 注意评估对业务的影响)。
参考链接如下:
https://github.com/alibaba/fastjson/wiki/security_update_20220523
4.3、升级至 Fastjson v2
Fastjson v2地址:
https://github.com/alibaba/fastjson2/releases
fastjson已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。fastjson v2代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做认真的兼容测试。升级遇到问题,可以在https://github.com/alibaba/fastjson2/issues 寻求帮助。
发表评论