漏洞说明
Fastjson是阿里巴巴公司开发的开源Java组件,攻击者利用此漏洞可在目标服务器上实现任意代码执行实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄露等严重影响。Fastjson组件用于Java对象和JSON格式字符串的快速转换,在Java系统中应用广泛。
影响范围
Fastjson<=1.2.80
处置建议
1、目前阿里巴巴公司已发布Fastjson 1.2.83版本修复此漏洞,可升级更新。
下载地址:
https://github.com/alibaba/Fastjson/releases/tag/1.2.83
2、也可以兼容性测试后升级至Fastjson v2版本。
下载地址:
https://github.com/alibaba/fastjson2/releases
3、如暂时不能升级的用户可参考临时缓解措施:在Fastjson1.2.68版本及之后的版本可通过开启SafeMode配置来关闭AutoType功能,防范反序列化攻击。需要注意评估关闭AutoType功能对业务的影响。