fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。fastjson 提供了高效的序列化和反序列化功能,支持自定义输出格式和类型信息。
fastjson 组件的漏洞列表及修复方案
以下是 fastjson 组件已知的一些安全漏洞:
| 漏洞编号 | 漏洞名称 | 漏洞等级 | 影响版本 | 修复版本 |
| MPS-2018-14062 | Fastjson < 1.2.25版本远程代码执行漏洞 | 严重 | [1.1.15,1.2.25) | 1.2.25及以上 |
| MPS-2018-27011 | Fastjson 1.2.25-1.2.47版本远程代码执行漏 | 严重 | [1.2.25, 1.2.48) | 1.2.48及以上 |
| MPS-2019-28847 | Fastjson <= 1.2.60 版本远程代码执行漏洞 | 严重 | (-∞, 1.2.61) | 1.2.61及以上 |
| MPS-2019-28848 | Fastjson < 1.2.60 版本拒绝服务漏洞 | 严重 | [1.1.15, 1.2.60) | 1.2.60及以上 |
| MPS-2020-39708 | Fastjson <=1.2.68 远程代码执行漏洞 | 严重 | [1.1.15, 1.2.69) | 1.2.69及以上 |
| MPS-2020-40828 | Fastjson < 1.2.67远程命令执行漏洞 | 高危 | [1.1.15, 1.2.67) | 1.2.67及以上 |
| MPS-2022-11320 | Fastjson < 1.2.83 任意代码执行漏洞 | 高危 | [1.1.15, 1.2.83) | 配置safeMode |
fastjson的漏洞检测和自动化修复方案
墨菲安全的软件供应链安全管理平台,可以快速帮助您识别您代码中的组件漏洞,在检测完成后MurphySec Al Copilot会为您提供合理的一键修复方案。帮助您提升代码安全性,降低漏洞运营成本,规避许可证风险,保护您的数据安全。它还支持多种语言,多种接入方式。
组件漏洞检测:
整个检测过程主要分为两个环节:获取项目依赖信息、分析项目依赖存在的漏洞
了解更多检测相关:我们如何对您的代码进行检测_墨菲安全 (murphysec.com)
自动化修复:
MurphySec Al Copilot在为您提供修复方案时会进行兼容性评估
1.通过 「创建 PR」 方式快速修复
如果您是GitHub、GItLab、gitee托管的代码项目,在检测完成后,在安全问题列表页 击 安全问题 -> 创建PR修复 -> 选择 修复方案 -> 提交 Pull Request-> 在 GitHub 上点击 Merge,即可完成快速修复
2.通过 「IDE 自动修复 」 方式快速修复
- 已安装 IDE 插件,在检测完成后 点击 缺陷组件 -> 快速修复 -> 修复方案 -> 确认升级 ,升级后支持 回滚
- 未安装 IDE 插件 先根据 IDE 插件安装教程 (opens new window)安装扫描后,点击 缺陷组件 -> 快速修复 -> 选择 修复方案 -> 确认升级 ,升级后支持 回滚
3.通过 「修复代码 」 方式快速修复
在检测完成后,在安全问题列表页,点击 安全问题 -> 修复代码 -> 选择 修复方案 -> 复制代码 -> 在代码编辑工具中找到定义组件位置并 修改代码,即可完成快速修复
发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/%e7%bb%84%e4%bb%b6%e6%bc%8f%e6%b4%9e/4928.html
