fastjsonsafemode_【风险通告】Fastjson远程代码执行漏洞

近日&＃xff0c;金山云安全应急响应中心监测到Fastjson存在远程代码执行漏洞&＃xff0c;利用该漏洞可直接获取服务器权限。

该漏洞利用门槛低&＃xff0c;风险影响范围较大&＃xff0c;建议使用了Fastjson的用户采取缓解措施并持续关注Fastjson的官方公告&＃xff0c;避免被外部攻击者入侵造成损失。

漏洞名称

Fastjson <&＃61;1.2.68全版本远程代码执行漏洞

风险等级

高危

漏洞描述

Fastjson <&＃61;1.2.68全版本存在远程代码执行漏洞&＃xff0c;可直接获取到服务器权限。漏洞成因是Fastjson autotype开关的限制可被绕过&＃xff0c;然后链式地反序列化某些原本不能被反序列化的有安全风险的类。漏洞实际造成的危害与 gadgets 有关&＃xff0c;gadgets中使用的类必须不在黑名单中&＃xff0c;本漏洞无法绕过黑名单的限制。

影响版本

Fastjson <&＃61; 1.2.68

修复建议

截止公告发布&＃xff0c;官方暂未发布新版本&＃xff0c;您可以采取下述缓解方案进行解决。

1)关注官方更新公告&＃xff0c;待官方更新后&＃xff0c;升级版本到1.2.69版本&＃xff1b;

2)升级到Fastjson 1.2.68版本&＃xff0c;通过配置以下参数开启SafeMode来防护攻击&＃xff1a;ParserConfig.getGlobalInstance().setSafeMode(true);

(SafeMode 会完全禁用autotype&＃xff0c;无视白名单&＃xff0c;请注意评估对业务影响)

3)  推荐采用Jackson-databind或者Gson等组件进行替换。

建议您在安装补丁前做好数据备份工作&＃xff0c;避免出现意外。

参考链接

1)官方更新通告&＃xff1a;https://github.com/alibaba/fastjson/releases

2)类似问题参考&＃xff1a;https://github.com/FasterXML/jackson-databind/issues/2620#

北京金山云网络技术有限公司

2020/05/28