近日,发现官方发布了Fastjson的风险通告,漏洞编号暂无 ,漏洞等级:高危,漏洞评分:8.5。
Fastjson官方开发的开源JSON解析库,由JAVA语言编写。Fastjson可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点,应用范围广泛。
一、漏洞介绍
漏洞风险:该漏洞的来源是Fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险,在特定条件下可绕过默认autoType关闭限制,从而反序列化有安全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行。
风险等级:高风险。
二、漏洞影响
影响范围:Fastjson ≤ 1.2.80
三、修复建议
修复建议:目前官方已在最新版本1.2.83中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:https://github.com/alibaba/fastjson/releases
人工检测:相关用户可使用以下命令检测当前使用的Fastjson版本
lsof | grep fastjson
在Fastjson 1.2.68及之后的版本中,官方添加了SafeMode 功能,可完全禁用autoType
