【高危安全通告】fastjson≤1.2.80反序列化漏洞

近日Fastjson Develop Team发布安全公告,Fastjson≤1.2.80版本中存在反序列化漏洞。攻击者可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。

目前Jeecgboot官方已完成修复,在此 建议Jeecgboot用户尽快修复。

修复方案非常简单:

  • 1.修改jeecg-boot\pom.xml文件中的,fastjson及jeewx-api版本在这里插入图片描述
  • 2.修改jeecg-boot-module-system/pom.xml文件,添加fastjson排除
    在这里插入图片描述
    点击可参考修复方案

漏洞描述

fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,由于具有执行效率高的特点,应用范围广泛。

fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。

官方安全建议

  • 1.升级到最新版本1.2.83
    https://github.com/alibaba/fastjson/releases/tag/1.2.83

    该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇遇到问题可以到
    https://github.com/alibaba/fastjson/issues寻求帮助。

  • 2.fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。

    开启方法可参考
    https://github.com/alibaba/fastjson/wiki/fastjson_safemode。

    1.2.83修复了此次发现的漏洞,开启safeMode是完全关闭autoType功能,避免类似问题再次发生,这可能会有兼容问题,请充分评估对业务影响后开启。

  • 3.可升级到fastjson v2
    https://github.com/alibaba/fastjson2/releases

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

JEECG低代码平台

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值