Fastjson 远程代码执行漏洞安全风险通告

admin 2022年5月24日01:55:11安全漏洞评论57 views1622字阅读5分24秒阅读模式
Fastjson 远程代码执行漏洞安全风险通告

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




安全通告



近日,奇安信CERT监测到 Fastjson 远程代码执行漏洞,在 Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType 关闭限制,从而反序列化有安全风险的类。在特定条件下这可能导致远程代码执行。鉴于该漏洞影响范围极大,建议客户尽快做好自查及防护。
漏洞名称

Fastjson 远程代码执行漏洞

公开时间

2022-05-23

更新时间

2022-05-23

CVE编号

暂无

其他编号

QVD-2022-7654

威胁类型

代码执行

技术类型

不可信数据的反序列化

厂商

Alibaba

产品

Fastjson

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态
POC状态
EXP状态
在野利用状态
技术细节状态
未发现
未发现
未发现
未公开

漏洞描述

Fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON字符串,也可以从 JSON 字符串反序列化到 JavaBean
 
Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType 关闭限制,从而反序列化有安全风险的类。

影响版本

Fastjson <= 1.2.80

不受影响版本

Fastjson 1.x >= 1.2.83

Fastjson 2.x

其他受影响组件

依赖Fastjson的组件



威胁评估

漏洞名称

Fastjson 远程代码执行漏洞

CVE编号

暂无

其他编号

QVD-2022-7654

CVSS 3.1评级

高危

CVSS 3.1分数

8.1

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

影响范围(S

机密性影响(C

不改变

完整性影响(I

可用性影响(A

危害描述

Fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON字符串,也可以从 JSON 字符串反序列化到 JavaBean
 
Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType 关闭限制,从而反序列化有安全风险的类,对服务器造成危害。



处置建议

1、版本升级

目前Fastjson已发布修复版本,用户可升级至最新版本 Fastjson 1.2.83:https://github.com/alibaba/Fastjson/releases/tag/1.2.83

Fastjson 2的AutoType没有内置白名单,必须显式打开才能使用。故用户可以升级至 Fastjson v2 版本:https://github.com/alibaba/Fastjson2/releases


2、缓解措施

在Fastjson 1.2.68 版本及之后的版本可通过开启safeMode 功能来关闭autoType功能从而杜绝反序列化 Gadgets 类变种攻击。
开启方法请参见:https://github.com/alibaba/Fastjson/wiki/Fastjson_safemode
需要注意的是开启该功能后,将不支持autoType,可能会对业务产生影响。



参考资料

[1]https://github.com/alibaba/Fastjson/wiki/security_update_20220523

[2]https://github.com/alibaba/fastjson2/releases

[3]https://github.com/alibaba/fastjson/releases/tag/1.2.83


时间线

2022年5月23日,奇安信CERT发布安全风险通告。


点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

原文始发于微信公众号(奇安信 CERT):Fastjson 远程代码执行漏洞安全风险通告

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月24日01:55:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Fastjson 远程代码执行漏洞安全风险通告 http://cn-sec.com/archives/1043590.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: