Fastjson <= 1.2.80 任意代码执行漏洞预警

漏洞简述

2022年5月23日，fastjson 官方发布安全通报，fastjson <= 1.2.80 存在反序列化任意代码执行漏洞，在特定条件下可绕过默认autoType关闭限制，可能会导致远程服务器被攻击，风险影响较大。建议使用了 fastjson 的用户尽快采取安全措施保障系统安全。

漏洞评级：严重
影响组件：com.alibaba:fastjson
影响版本：<= 1.2.80

处置建议

方式一：
升级到1.2.83版本，该版本涉及autotype行为变更，在某些场景会出现不兼容的情况，需要注意。
方式二：
开启safeMode来禁用autoType，开启方式参考官方说明：https://github.com/alibaba/fa…
方式三：
使用fastjson V2版本，不完全兼容1.x，升级需要做认真的兼容测试。

如何快速排查

目前墨菲安全已经支持此漏洞的检测，可使用墨菲安全平台及开源工具进行检测并修复。

墨菲安全开源CLI工具

使用CLI工具，在命令行检测指定目录代码的依赖安全问题
工具地址：https://github.com/murphysecu…
具体使用方式可参考项目 README
或官方文档

说明：检测仅发生在您的本地环境中，不会上传任何代码至服务端

墨菲安全IDE插件

在 IDE 中即可检测代码依赖的安全问题，并通过准确的修复方案和一键修复功能，快速解决安全问题。

• 使用方式：
  IDE插件市场中搜索“murphysec”即可安装（查看文档）
  选择“点击开始扫描”，即可检测出代码中存在哪些安全缺陷组件
  
  以上几种检测方式均可在墨菲安全平台上查看详细的检测结果，并可以查看项目的直接或间接依赖信息。
  

参考链接：
https://github.com/alibaba/fastjson/wiki/security_update_20220523

[温馨提示：高防服务器能助您降低 IT 成本，提升运维效率，使您更专注于核心业务创新。]

[图文来源于网络，不代表本站立场，如有侵权，请联系高防服务器网删除]