【高危安全通告】fastjson≤1.2.80反序列化漏洞

zhangdaiscott

近日Fastjson Develop Team发布安全公告，Fastjson≤1.2.80版本中存在反序列化漏洞。攻击者可绕过默认autoType关闭限制，攻击远程服务器，风险影响较大。

目前Jeecgboot官方已完成修复，在此 建议Jeecgboot用户尽快修复。

修复方案非常简单：

• 1.修改jeecg-boot\pom.xml文件中的，fastjson及jeewx-api版本
  

• 2.修改jeecg-boot-module-system/pom.xml文件，添加fastjson排除
  

点击可参考修复方案。

漏洞描述

• fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean，由于具有执行效率高的特点，应用范围广泛。

• fastjson已使用黑白名单用于防御反序列化漏洞，经研究该利用在特定条件下可绕过默认autoType关闭限制，攻击远程服务器，风险影响较大。

  
  

官方安全建议

• 1.升级到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83

  该版本涉及autotype行为变更，在某些场景会出现不兼容的情况，如遇遇到问题可以到 https://github.com/alibaba/fastjson/issues寻求帮助。

• 2.fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，无论白名单和黑名单，都不支持autoType，可杜绝反序列化Gadgets类变种攻击（关闭autoType注意评估对业务的影响）。

  开启方法可参考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode。

  1.2.83修复了此次发现的漏洞，开启safeMode是完全关闭autoType功能，避免类似问题再次发生，这可能会有兼容问题，请充分评估对业务影响后开启。

• 3.可升级到fastjson v2 https://github.com/alibaba/fastjson2/releases