【漏洞描述】
近日,监测到Fastjson官方发布安全公告,修复了一处反序列化漏洞,攻击者在特定条件下可绕过默认autoType关闭限制,利用该漏洞攻击远程服务器,风险较大。fastjson被众多java软件作为组件集成,广泛存在于java应用的服务端代码中。目前,官方已发布最新安全版本,建议使用该组件的用户尽快采取安全措施。
参考链接:
https://github.com/alibaba/fastjson/wiki/security_update_20220523
严重等级:高危
【影响范围】
Fastjson≤1.2.80
【修复建议】
目前漏洞细节和利用代码暂未公开,但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码,建议部署相关产品的用户及时测试并升级到漏洞修复的版本。官方发布的fastjson最新版本1.2.83已修复该漏洞。
官方建议:
升级到最新版本。
