近日&#xff0c;白帽汇安全研究院监测到&#xff0c;Fastjson <1.2.69 版本存在远程代码执行漏洞&#xff0c;可直接获取到服务器权限。该漏洞利用门槛低&#xff0c;风险影响范围较大&#xff0c;强烈建议使用了 Fastjson 的用户近期持续关注 Fastjson 官方公告。漏洞成因是Fastjson autotype开关的限制可被绕过&#xff0c;然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。漏洞实际造成的危害与 gadgets 有关&#xff0c;gadgets 中使用的类必须不在黑名单中&#xff0c;本漏洞无法绕过黑名单的限制。
Fastjson 是一个Java 语言编写的高性能功能完善的 JSON 库。 它采用一种“假定有序快速匹配”的算法&#xff0c;把 JSON Parse 的性能提升到极致&#xff0c;是目前 Java 语言中最快的 JSON 库。 Fastjson 接口简单易用&#xff0c;已经被广泛使用在缓存序列化、协议交互、Web 输出、Android 客户端等多种应用场景。
影响范围
Fastjson <1.2.69
修复
截止公告发布&#xff0c;官方暂未发布新版本&#xff0c;您可以采取下述缓解方案进行解决&#xff1a;升级到 Fastjson 1.2.68 版本&#xff0c;通过配置以下参数开启 SafeMode 来防护攻击&#xff1a; ParserConfig.getGlobalInstance().setSafeMode(true);( safeMode 会完全禁用 autotype&#xff0c;无视白名单&#xff0c;请注意评估对业务影响)
推荐采用 Jackson-databind 或者 Gson 等组件进行替换。 建议您在安装补丁前做好数据备份工作&#xff0c;避免出现意外
参考
白帽汇从事信息安全&#xff0c;专注于安全大数据、企业威胁情报。
公司产品&#xff1a;FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供&#xff1a;网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。