2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认autoType关闭限制,可能会导致远程服务器被攻击,风险影响较大。OSCS开源软件社区对此漏洞进行收录,漏洞信息如下:
漏洞评级:严重
影响组件:com.alibaba:fastjson
影响版本:<= 1.2.80
更多漏洞详细信息可进入OSCS社区查看:https://www.oscs1024.com/hd/MPS-2022-11320
同时,OSCS社区对Github上7000+个java项目进行了整体扫描,发现本次漏洞至少影响1031个项目,其中star大于500的项目达到290个。
受到此次漏洞影响的热门项目如下:
/apache/rocketmq/jeecgboot/jeecg-boot/alibaba/Sentinel/xkcoding/spring-boot-demo/Tencent/APIJSON/alibaba/DataX/zhaojun1998/zfile/alibaba/jetcache/alibaba/yugong/alibaba/GraphScope
漏洞检测分析工具: http://github.com/murphysecurity/murphysec
OSCS建议您以下三种修复方式:
1、升级到1.2.83版本,该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,需要注意。
2、开启safeMode来禁用autoType,开启方式参考官方说明:https://github.com/alibaba/fastjson/wiki/fastjson_safemode
3、使用fastjson V2版本,不完全兼容1.x,升级需要做认真的兼容测试。
OSCS联合墨菲安全为您提供了快速检测工具,能够帮助您快速排查项目是否受到影响
同时,OSCS也欢迎您加入OSCS社区,成为守护者计划的一员;
加入守护者计划之后,OSCS会对您的项目进行持续的监测和扫描,一旦发现有安全风险,将会提醒您进行关注;
加入方式:https://www.oscs1024.com/join
OSCS也欢迎各位开发者们,引用依赖之前可以来OSCS(oscs1024.com)搜一搜,看一看, 让自己的代码更安全。
版权归原作者 开源生态安全OSCS 所有, 如有侵权,请联系我们删除。