一、漏洞概述

5 月 23 日,绿盟科技 CERT 监测到 Fastjson 官方发布公告称在 1.2.80 及以下版本中存在新的反序列化风险,在特定条件下可绕过默认 autoType 关闭限制,从而反序列化有安全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行。请相关用户尽快采取防护措施。

Fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。由于具有执行效率高的特点,应用范围广泛。

二、影响范围

受影响版本

  • Fastjson ≤ 1.2.80

不受影响版本

  • Fastjson = 1.2.83

三、修复方案

① 开源版本

② 商业版本

四、修复确认

♥️ 获取支持

遇到问题?

如果您在使用过程中遇到任何问题、有功能建议或需求,请点击此卡片前往 Gitee 仓库提交 Issue。