fastjson 又现高危漏洞!

fastjson 又现高危漏洞!

日期:2020-06-01


5 月 28 日,据 360 网络安全响应中心发布《Fastjson远程代码执行漏洞通告》显示,由阿里巴巴开源的 fastjson 又现高危漏洞,该漏洞可导致不法分子远程执行服务器命令等严重后果。

fastjson 是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到 JavaBean

fastjson 存在远程代码执行漏洞,autotype 开关的限制可以被绕过,链式的反序列化攻击者精心构造反序列化利用链,最终达成远程命令执行的后果。此漏洞本身无法绕过 fastjson 的黑名单限制,需要配合不在黑名单中的反序列化利用链才能完成完整的漏洞利用。

该漏洞影响的版本:<= 1.2.68

该漏洞修复建议:

  • 升级到 fastjson 1.2.69/1.2.70 版本,下载地址为 Releases · alibaba/fastjson
  • 或者通过配置以下参数开启 SafeMode 来防护攻击:ParserConfig.getGlobalInstance().setSafeMode(true);safeMode 会完全禁用 autotype,无视白名单,请注意评估对业务影响)