安全预警,防患未然
首页 > 烽火狼烟

Fastjson反序列化漏洞风险提示


漏洞概述


近日,WebRAY安全服务产品线监测到Fastjson官方发布公告,修复了一个存在Fastjson1.2.80版本以及之前的版本的反序列化漏洞。


Fastjson是一个由Java语言编写的高性能JSON库,它采用名为“假定有序快速匹配”的算法将JSON Parse的性能提升到极致。由于Fastjson接口简单易用,目前已被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景中。


由于Fastjson基于autoType黑白名单对反序列化漏洞进行防御的安全机制存在缺陷,成功利用该缺陷可绕过autoType的防御机制,从而导致Fastjson将存在风险的类进行反序列化处理,以达到执行远程代码的目的。


WebRAY安全服务产品线也将持续关注该漏洞进展,并及时为您更新该漏洞信息。


影响范围


漏洞组件漏洞类型影响版本
Fastjson反序列化漏洞Fastjson≤ 1.2.80


漏洞等级


WebRAY安全服务产品线风险评级:高危


修复建议


1. 升级到新版本1.2.83,下载地址:

https://github.com/alibaba/fastjson/releases/tag/1.2.83 (该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。)


2. 可升级到fastjson v2 ,参考地址:

https://github.com/alibaba/fastjson2/releases


3. fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单均不支持autoType。当配置完成后可有效防止反序列化Gadgets类变种攻击。开启方法可参考地址:

https://github.com/alibaba/fastjson/wiki/fastjson_safemode 。

关于您的项目需求

  • 获取短信验证码
点击“提交”,表明我理解并同意