近日,奇安信CERT监测到 Fastjson 远程代码执行漏洞,在 Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType 关闭限制,从而反序列化有安全风险的类。在特定条件下这可能导致远程代码执行。鉴于该漏洞影响范围极大,建议客户尽快做好自查及防护。
漏洞名称 | Fastjson 远程代码执行漏洞 | ||
公开时间 | 2022-05-23 | 更新时间 | 2022-05-23 |
CVE编号 | 暂无 | 其他编号 | QVD-2022-7654 |
威胁类型 | 代码执行 | 技术类型 | 不可信数据的反序列化 |
厂商 | Alibaba | 产品 | Fastjson |
风险等级 | |||
奇安信CERT风险评级 | 风险等级 | ||
高危 | 蓝色(一般事件) | ||
现时威胁状态 | |||
POC状态 | EXP状态 | 在野利用状态 | 技术细节状态 |
未发现 | 未发现 | 未发现 | 未公开 |
漏洞描述 | Fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON字符串,也可以从 JSON 字符串反序列化到 JavaBean。 在 Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType 关闭限制,从而反序列化有安全风险的类。 | ||
影响版本 | Fastjson <= 1.2.80 | ||
不受影响版本 | Fastjson 1.x >= 1.2.83 Fastjson 2.x | ||
其他受影响组件 | 依赖Fastjson的组件 | ||
威胁评估
漏洞名称 | Fastjson 远程代码执行漏洞 | |||
CVE编号 | 暂无 | 其他编号 | QVD-2022-7654 | |
CVSS 3.1评级 | 高危 | CVSS 3.1分数 | 8.1 | |
CVSS向量 | 访问途径(AV) | 攻击复杂度(AC) | ||
网络 | 高 | |||
所需权限(PR) | 用户交互(UI) | |||
无 | 不需要 | |||
影响范围(S) | 机密性影响(C) | |||
不改变 | 高 | |||
完整性影响(I) | 可用性影响(A) | |||
高 | 高 | |||
危害描述 | Fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON字符串,也可以从 JSON 字符串反序列化到 JavaBean。 在 Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType 关闭限制,从而反序列化有安全风险的类,对服务器造成危害。 | |||
处置建议
1、版本升级
目前Fastjson已发布修复版本,用户可升级至最新版本 Fastjson 1.2.83:https://github.com/alibaba/Fastjson/releases/tag/1.2.83
Fastjson 2的AutoType没有内置白名单,必须显式打开才能使用。故用户可以升级至 Fastjson v2 版本:https://github.com/alibaba/Fastjson2/releases
2、缓解措施
在Fastjson 1.2.68 版本及之后的版本可通过开启safeMode 功能来关闭autoType功能从而杜绝反序列化 Gadgets 类变种攻击。
开启方法请参见:https://github.com/alibaba/Fastjson/wiki/Fastjson_safemode
需要注意的是开启该功能后,将不支持autoType,可能会对业务产生影响。
参考资料
[1]https://github.com/alibaba/Fastjson/wiki/security_update_20220523
[2]https://github.com/alibaba/fastjson2/releases
[3]https://github.com/alibaba/fastjson/releases/tag/1.2.83
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
