Anonymous 发表于 2022-5-24 13:19:52

Fastjson 远程代码执行漏洞安全风险通告

近日,红客联盟监测到 Fastjson 远程代码执行漏洞,在 Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType 关闭限制,从而反序列化有安全风险的类。在特定条件下这可能导致远程代码执行。鉴于该漏洞影响范围极大,建议客户尽快做好自查及防护。



漏洞名称Fastjson 远程代码执行漏洞
公开时间2022-05-23更新时间2022-05-23
CVE编号暂无其他编号QVD-2022-7654
威胁类型代码执行技术类型不可信数据的反序列化
厂商Alibaba产品Fastjson
风险等级
风险评级风险等级
高危蓝色(一般事件)
现时威胁状态
POC状态EXP状态在野利用状态技术细节状态
未发现未发现未发现未公开
漏洞描述Fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON字符串,也可以从 JSON 字符串反序列化到 JavaBean。
在 Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType 关闭限制,从而反序列化有安全风险的类。
影响版本Fastjson <= 1.2.80
不受影响版本Fastjson 1.x >= 1.2.83Fastjson 2.x
其他受影响组件依赖Fastjson的组件


1、版本升级

目前Fastjson已发布修复版本,用户可升级至最新版本 Fastjson 1.2.83:https://github.com/alibaba/Fastjson/releases/tag/1.2.83

Fastjson 2的AutoType没有内置白名单,必须显式打开才能使用。故用户可以升级至 Fastjson v2 版本:https://github.com/alibaba/Fastjson2/releases


2、缓解措施

在Fastjson 1.2.68 版本及之后的版本可通过开启safeMode 功能来关闭autoType功能从而杜绝反序列化 Gadgets 类变种攻击。
开启方法请参见:https://github.com/alibaba/Fastjson/wiki/Fastjson_safemode
需要注意的是开启该功能后,将不支持autoType,可能会对业务产生影响。
页: [1]
查看完整版本: Fastjson 远程代码执行漏洞安全风险通告