高危!Fastjson 反序列化漏洞风险
1、漏洞概述
近日,Fastjson Develop Team 发布安全公告,修复了一个存在于 Fastjson1.2.80 及之前版本中的反序列化漏洞。
Fastjson 是一个由 Java 语言编写的高性能 JSON 库,它采用名为“假定有序快速匹配”的算法将 JSON Parse 的性能提升到极致。由于 Fastjson 接口简单易用,目前已被广泛使用在缓存序列化、协议交互、Web 输出、Android 客户端等多种应用场景中。
由于 Fastjson 基于 autoType 黑白名单对反序列化漏洞进行防御的安全机制存在缺陷,成功利用该缺陷可绕过 autoType 的防御机制,从而导致 Fastjson 将存在风险的类进行反序列化处理,以达到执行远程代码的目的。
2、受影响的版本
特定依赖存在下影响 ≤1.2.80
3、漏洞等级
风险评级:高危!
4、修复建议
1. 升级到新版本 1.2.83,下载地址:
https://github.com/alibaba/fastjson/releases/tag/1.2.83
该版本涉及 autotype 行为变更,在某些场景会出现不兼容的情况,如遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。)
5.开源字节低代码平台会受影响吗?该如何处理?
答:会的。因为我们也在使用 Fastjson,且版本号是<fastjson.version>1.2.79</fastjson.version>,我们已经升级到最新版 1.2.83,fork 代码的同学可以 pull 最新的代码。或者手动修改一下父工程中的版本号,如下图所示:
如若转载,请注明出处:开源字节 https://sourcebyte.cn/article/140.html
评论