fastjson <= 1.2.80 反序列化任意代码执行漏洞

admin 2022年5月23日15:00:31Ali_nonvd评论26 次浏览阅读模式

CVE编号

N/A


利用情况

暂无



补丁情况

官方补丁


披露时间

2022-05-23



漏洞描述

fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全。

特定依赖存在下影响 ≤1.2.80

解决建议

1、升级到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83 。该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。
2、fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。开启方法可参考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode 。1.2.83修复了此次发现的漏洞,开启safeMode是完全关闭autoType功能,避免类似问题再次发生,这可能会有兼容问题,请充分评估对业务影响后开启。
3、可升级到fastjson v2 ,https://github.com/alibaba/fastjson2/releases

参考链接


https://github.com/alibaba/fastjson/wiki/security_update_20220523

受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用

alibaba

fastjson

*


Up to
(including)
1.2.80

阿里云评分

8.5

  • 攻击路径

    远程

  • 攻击复杂度
    复杂

  • 权限要求
    无需权限
  • 影响范围
    全局影响
  • EXP成熟度
    未验证

  • 补丁情况
    官方补丁

  • 数据保密性
    数据泄露

  • 数据完整性
    传输被破坏
  • 服务器危害
    服务器失陷
  • 全网数量

    N/A

CWE-ID 漏洞类型

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月23日15:00:31
  • 转载请务必保留本文链接:http://zone.ci/archives/aliyun/ali_nonvd/2022/05/23/716199.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: