流行的Fastjson库中最近修补的一个高严重性安全漏洞,该漏洞可能被利用来实现远程代码执行。
Fastjson是一个 Java 库,用于将 Java 对象转换为其JSON表示形式,反之亦然。AutoType是易受该漏洞影响的函数,默认启用,旨在在解析 JSON 输入时指定自定义类型,然后将其反序列化为适当类的对象。
安全漏洞跟踪号为CVE-2022-25845(CVSS 评分:8.1),项目维护者在2022 年 5 月 23 日发布的1.2.83 版本中对其进行了修补。
这个漏洞影响到所有依赖Fastjson 1.2.80或更早版本的Java应用程序,以及将用户控制的数据传递给JSON.parse或JSON.parseObject APIs,而没有指定一个特定的类来反序列化。
虽然项目所有者之前引入了一种禁用 AutoType 的安全模式,并开始维护一个阻止反序列化漏洞的类列表,但新发现的漏洞绕过了这些限制中的后者,从而导致远程代码执行。
Fastjson 的用户建议更新到 1.2.83 版本或开启 safeMode,无论使用白名单还是黑名单都会关闭该功能,有效关闭反序列化攻击的变种。