CVE编号
N/A
利用情况
暂无
补丁情况
官方补丁
披露时间
2022-05-23
漏洞描述
fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全。
特定依赖存在下影响 ≤1.2.80
解决建议
1、升级到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83 。该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。
2、fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。开启方法可参考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode 。1.2.83修复了此次发现的漏洞,开启safeMode是完全关闭autoType功能,避免类似问题再次发生,这可能会有兼容问题,请充分评估对业务影响后开启。
3、可升级到fastjson v2 ,https://github.com/alibaba/fastjson2/releases
参考链接 |
|
|---|---|
|
https://github.com/alibaba/fastjson/wiki/security_update_20220523 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 |
alibaba |
fastjson |
* |
|
|||||
阿里云评分
8.5
-
攻击路径
远程
-
攻击复杂度
复杂 -
权限要求
无需权限 -
影响范围
全局影响 -
EXP成熟度
未验证 -
补丁情况
官方补丁 -
数据保密性
数据泄露 -
数据完整性
传输被破坏 -
服务器危害
服务器失陷 -
全网数量
N/A
- 我的微信
- 微信扫一扫
-
- 我的微信公众号
- 微信扫一扫
-
评论