高危安全漏洞Fastjson | 新发现高危autotype开关绕过安全漏洞

前言

Fastjson <=1.2.68版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。


漏洞详情

Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean 。

本次漏洞发现,其autotype开关的限制可被绕过,然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。

漏洞实际造成的危害与 gadgets 有关,gadgets中使用的类必须不在黑名单中,本漏洞无法绕过黑名单的限制。


影响版本

  • Fastjson <= 1.2.68

修复建议

可以采取以下方案进行解决:

  • 1.直接更新版本,现在可升级至最新的 1.2.70 版本;
  • 2.Fastjson 1.2.68 版本,通过配置以下参数开启 SafeMode 来防护攻击:ParserConfig.getGlobalInstance().setSafeMode(true);(safeMode 会完全禁用 autotype,无视白名单,请注意评估对业务影响)。

github地址

https://github.com/alibaba/fastjson/releases.

高危安全漏洞Fastjson | 新发现高危autotype开关绕过安全漏洞_第1张图片
高危安全漏洞Fastjson | 新发现高危autotype开关绕过安全漏洞_第2张图片


你可能感兴趣的:(日常记录,fastjson,json,安全,漏洞,autotype)