聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞和受支持的特性 “AutoType” 中的不受信任的反序列化有关。项目维护人员已于2022年5月23日在版本1.2.83中将其修复。
JFrog 公司的研究员 Uriya Yavnieli 在write-up 中指出,“该漏洞影响所有满足如下条件的Java 应用:它们依赖于 Fastjson 版本1.2.80或更早版本,将受用户控制的数据传递给 JSON.parse 或 JSON.parseObject API而不指定反序列化的特定类。”
Fastjson 是一个Java库,用于将Java Objects 转换为JSON 表示,反之亦然。易受该缺陷影响的函数 AutoType 在默认情况下是启用的,当解析可被反序列化到恰当类的对象时,指定自定义类型。
Yavnieli 解释称,“然而,如果被反序列化的JSON 受用户控制,则通过启用 AutoType 进行解析可导致反序列化安全问题,因为攻击者可实例化 Classpath 上的任何类,并以任意参数提供给构造器。”
虽然项目所有人此前引入了禁用 AutoType 的安全模式并开始维护类的阻止列表来防御反序列化缺陷,但新发现的这个漏洞绕过了阻止列表,从而引发远程代码执行后果。
建议Fastjson 用户更新至版本1.2.83,或启用安全模式(不管使用了允许列表还是阻止列表,该函数被关闭),从而有效地关闭反序列化攻击的变体。
Yavnieli 表示,“尽管已存在公开的PoC 利用,且潜在影响非常大(远程代码执行),但攻击的条件并不容易(将不受信任输入传递到特定的易受攻击API中),而且更重要的是,需要开展特定目标的研究,找到合适的小工具类实施利用。”
https://thehackernews.com/2022/06/high-severity-rce-vulnerability.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):热门Fastjson 中出现高危RCE漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论