2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认autoType关闭限制,可能会导致远程服务器被攻击,风险影响较大。OSCS开源软件社区对此漏洞进行收录,漏洞信息如下:
漏洞评级:高危
影响组件:com.alibaba:fastjson
影响版本:<= 1.2.80
更多漏洞详细信息可进入OSCS社区查看:https://www.oscs1024.com/hd/MPS-2022-11320
同时,OSCS社区对Github上7000+个java项目进行了整体扫描,发现本次漏洞至少影响1031个项目,其中star大于500的项目达到290个。
/jeecgboot/jeecg-boot
/alibaba/Sentinel
/xkcoding/spring-boot-demo
/Tencent/APIJSON
/apache/rocketmq
/alibaba/DataX
/zhaojun1998/zfile
/alibaba/jetcache
/alibaba/yugong
/alibaba/GraphScope
等项目均受到此次漏洞影响;
漏洞检测分析工具: http://github.com/murphysecurity/murphysec
OSCS建议您以下三种修复方式:
1、升级到1.2.83版本,该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,需要注意。
2、开启safeMode来禁用autoType,开启方式参考官方说明:https://github.com/alibaba/fastjson/wiki/fastjson_safemode
3、使用fastjson V2版本,不完全兼容1.x,升级需要做认真的兼容测试。
OSCS联合墨菲安全为您提供了快速检测工具,能够帮助您快速排查项目是否受到影响
同时,OSCS也欢迎您加入OSCS社区,成为守护者计划的一员;
加入守护者计划之后,OSCS会对您的项目进行持续的监测和扫描,一旦发现有安全风险,将会提醒您进行关注;
加入方式:https://www.oscs1024.com/join
OSCS也欢迎各位开发者们,引用依赖之前可以来OSCS(oscs1024.com)搜一搜,看一看, 让自己的代码更安全。
发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/vulnerability-analysis/4203.html
