曝光！Fastjson 反序列化高危漏洞多种修复方案

01 漏洞概况 

近日，微步情报局捕获 Fastjson1.2.80 反序列化漏洞情报，攻击者可以利用该漏洞攻击远程服务器, 可能会造成任意命令执行。Fastjson 是一个 Java 库，可用于将 Java 对象转换为其 JSON字符串表示形式, 还可用于将 JSON 字符串转换为等效的 Java 对象。

漏洞复现：

此次受影响版本如下：

Fastjson	是否受影响
≤1.2.80	是

02 漏洞评估 

公开程度：未发现在野利用

利用条件：无权限要求

交互要求：0 Click

漏洞危害：高危、任意命令执行

影响范围：Fastjson ≤1.2.80

03 修复方案

三种修复方案根据业务选择任一合适方案即可:

1.建议升级到最新版本1.2.83:

https://github.com/alibaba/fastjson/releases/tag/1.2.83

2.safeMode加固:

Fastjson 在1.2.68及之后的版本中引入了safeMode，配置 safeMode后，无论白名单和黑名单，都不支持 autoType，可杜绝反序列化 Gadgets 类变种攻击（关闭 autoType 注意评估对业务的影响）。

参考链接:
https://github.com/alibaba/fastjson/wiki/security_update_20220523

3.升级至 Fastjson v2：

Fastjson v2地址：

https://github.com/alibaba/fastjson2/releases

04 时间线 

2022.5.23 微步情报局捕获该漏洞相关情报

2022.5.23 微步在线威胁感知平台 TDP 已支持检测

2022.5.23 微步情报局发布漏洞通告

点击下方名片，关注我们

第一时间为您推送最新威胁情报

原文始发于微信公众号（微步在线研究响应中心）：曝光！Fastjson 反序列化高危漏洞多种修复方案