漏洞组件 | 漏洞类型 | 影响版本 |
Fastjson | 反序列化漏洞 | Fastjson≤ 1.2.80 |
漏洞等级
WebRAY安全服务产品线风险评级:高危
修复建议
1. 升级到新版本1.2.83,下载地址:
https://github.com/alibaba/fastjson/releases/tag/1.2.83 (该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。)
2. 可升级到fastjson v2 ,参考地址:
https://github.com/alibaba/fastjson2/releases
3. fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单均不支持autoType。当配置完成后可有效防止反序列化Gadgets类变种攻击。开启方法可参考地址:
https://github.com/alibaba/fastjson/wiki/fastjson_safemode 。