烽火狼烟丨Fastjson反序列化漏洞风险提示

1、漏洞概述

近日，WebRAY安全服务产品线监测到Fastjson官方发布公告，修复了一个存在Fastjson1.2.80版本以及之前的版本的反序列化漏洞。

Fastjson是一个由Java语言编写的高性能JSON库，它采用名为“假定有序快速匹配”的算法将JSON Parse的性能提升到极致。由于Fastjson接口简单易用，目前已被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景中。

由于Fastjson基于autoType黑白名单对反序列化漏洞进行防御的安全机制存在缺陷，成功利用该缺陷可绕过autoType的防御机制，从而导致Fastjson将存在风险的类进行反序列化处理，以达到执行远程代码的目的。

WebRAY安全服务产品线也将持续关注该漏洞进展，并及时为您更新该漏洞信息。

2、影响范围

漏洞组件	漏洞类型	影响版本
Fastjson	反序列化漏洞	Fastjson≤ 1.2.80

3、漏洞等级

WebRAY安全服务产品线风险评级：高危

4、修复建议

1. 升级到新版本1.2.83，下载地址：

https://github.com/alibaba/fastjson/releases/tag/1.2.83 （该版本涉及autotype行为变更，在某些场景会出现不兼容的情况，如遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。）

2. 可升级到fastjson v2 ，参考地址：

https://github.com/alibaba/fastjson2/releases

3. fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，无论白名单和黑名单均不支持autoType。当配置完成后可有效防止反序列化Gadgets类变种攻击。开启方法可参考地址：

https://github.com/alibaba/fastjson/wiki/fastjson_safemode 。