Fastjson 远程代码执行漏洞安全风险通告

近日，红客联盟监测到 Fastjson 远程代码执行漏洞，在 Fastjson 1.2.80 及以下版本中存在反序列化漏洞，攻击者可以在特定依赖下利用此漏洞绕过默认autoType 关闭限制，从而反序列化有安全风险的类。在特定条件下这可能导致远程代码执行。鉴于该漏洞影响范围极大，建议客户尽快做好自查及防护。

漏洞名称	Fastjson 远程代码执行漏洞
公开时间	2022-05-23	更新时间	2022-05-23
CVE编号	暂无	其他编号	QVD-2022-7654
威胁类型	代码执行	技术类型	不可信数据的反序列化
厂商	Alibaba	产品	Fastjson
风险等级
风险评级		风险等级
高危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
未发现	未发现	未发现	未公开
漏洞描述	Fastjson 是阿里巴巴的开源 JSON 解析库，它可以解析 JSON 格式的字符串，支持将 Java Bean 序列化为 JSON字符串，也可以从 JSON 字符串反序列化到 JavaBean。   在 Fastjson 1.2.80 及以下版本中存在反序列化漏洞，攻击者可以在特定依赖下利用此漏洞绕过默认autoType 关闭限制，从而反序列化有安全风险的类。
影响版本	Fastjson <= 1.2.80
不受影响版本	Fastjson 1.x >= 1.2.83 Fastjson 2.x
其他受影响组件	依赖Fastjson的组件

1、版本升级

目前Fastjson已发布修复版本，用户可升级至最新版本 Fastjson 1.2.83：https://github.com/alibaba/Fastjson/releases/tag/1.2.83

Fastjson 2的AutoType没有内置白名单，必须显式打开才能使用。故用户可以升级至 Fastjson v2 版本：https://github.com/alibaba/Fastjson2/releases


2、缓解措施

在Fastjson 1.2.68 版本及之后的版本可通过开启safeMode 功能来关闭autoType功能从而杜绝反序列化 Gadgets 类变种攻击。
开启方法请参见：https://github.com/alibaba/Fastjson/wiki/Fastjson_safemode
需要注意的是开启该功能后，将不支持autoType，可能会对业务产生影响。