autotype安全fastjson_fastjson出现远程代码执行漏洞，等级“高危”

fastjson 官方发布了安全公告&＃xff1a;(数据来自开源中国)

公告指出&＃xff0c;fastjson <&＃61; 1.2.68 版本存在远程代码执行漏洞&＃xff0c;漏洞被利用可直接获取服务器权限。360CERT 将漏洞等级定为“高危”。

该远程代码执行漏洞原理是&＃xff0c;autotype 开关的限制可以被绕过&＃xff0c;链式反序列化攻击者可以通过精心构造反序列化利用链&＃xff0c;最终达成远程命令执行。此漏洞本身无法绕过 fastjson 的黑名单限制&＃xff0c;需要配合不在黑名单中的反序列化利用链才能完成完整的漏洞利用。

目前 fastjson 官方还未发布修复版本&＃xff0c;使用者可以升级到 fastjson 1.2.68 版本&＃xff0c;并通过配置 ParserConfig.getGlobalInstance().setSafeMode(true) 参数开启 SafeMode 防护攻击&＃xff0c;不过需要注意的是 safeMode 会完全禁用 autotype&＃xff0c;无视白名单&＃xff0c;需要评估对业务影响的。