一、fastjson漏洞详情
Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,是目前Java语言中最快的JSON库。由于Fastjson其优越的性能,被广泛使用在缓存序列化、协议交互等多种应用场景。然而在2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认autoType关闭限制,可能会导致远程服务器被攻击,风险影响较大。
二、受影响版本
漏洞信息如下:
漏洞评级:严重
影响组件:com.alibaba:fastjson
影响版本:<= 1.2.80
三、修复建议
建议1:使用fastjson1.2.83版本;
Github地址:https://github.com/alibaba/fastjson/releases/tag/1.2.83 建议2:升级到fastjson v2
Github地址:https://github.com/alibaba/fastjson2
Fastjson v2是FASTJSON项目的重要升级,目标是为下一个十年提供一个高性能的JSON库,同一套API支持JSON/JSONB两种协议,JSONPath是一等公民,支持全量解析和部分解析,支持Java服务端、客户端Android、大数据场景