<返回更多

高危!Fastjson反序列化漏洞风险

2022-05-30    zw源
加入收藏
高危!Fastjson反序列化漏洞风险

 

1、漏洞概述

近日,Fastjson Develop Team发布安全公告,修复了一个存在于Fastjson1.2.80及之前版本中的反序列化漏洞。

Fastjson是一个由JAVA语言编写的高性能JSON库,它采用名为“假定有序快速匹配”的算法将JSON Parse的性能提升到极致。由于Fastjson接口简单易用,目前已被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景中。

由于Fastjson基于autoType黑白名单对反序列化漏洞进行防御的安全机制存在缺陷,成功利用该缺陷可绕过autoType的防御机制,从而导致Fastjson将存在风险的类进行反序列化处理,以达到执行远程代码的目的。

2、受影响的版本

特定依赖存在下影响 ≤1.2.80

3、漏洞等级

风险评级:高危!

4、修复建议

1. 升级到新版本1.2.83,下载地址:

https://github.com/alibaba/fastjson/releases/tag/1.2.83

该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。)

 

5.开源字节低代码平台会受影响吗?该如何处理?

答:会的。因为我们也在使用Fastjson,且版本号是<fastjson.version>1.2.79</fastjson.version>,我们已经升级到最新版1.2.83,fork代码的同学可以pull最新的代码。或者手动修改一下父工程中的版本号,如下图所示:

高危!Fastjson反序列化漏洞风险

 

如若转载,请注明出处:开源字节
https://sourcebyte.cn/article/140.html

声明:本站部分内容来自互联网,如有版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
▍相关推荐
更多资讯 >>>