关于 FastJson 反序列化远程代码执行漏洞的安全告知

时间:2022-05-23 17:51:58来源:信息安全服务部作者:梦之想科技

FastJson 是一款广泛使用的开源的高性能 JSON 解析库,它可以解析 JSON 格式的字 符串,支持将 JavaBean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。

漏洞详情

近日,FastJson 官方发布了 1.2.83 版本,修复了一个反序列化远程代码执行漏洞。

Fastjson 基于黑白名单对反序列化漏洞进行防御,但在 FastJson 1.2.80及之前的版本中,这些防御机制可被绕过。从而使得默认配置下,当应用或系统使用 Fastjson 对由用户可控的 JSON 字符串进行解析时,将可能导致远程代码执行的危害。

影响范围

FastJson 版本 <= 1.2.80

修复建议

目前此漏洞已经修复,及时升级更新到 FastJson 版本 1.2.83。下载链接:

https://github.com/alibaba/fastjson/releases/tag/1.2.83

参考链接

https://github.com/alibaba/fastjson/wiki/security_update_20220523