漏洞基础信息

漏洞威胁概况

漏洞描述

Fastjson是一个开源的Java对象和JSON格式字符串快速转换的工具库。近日，Fastjson官方发布安全公告，修复了一个存在于Fastjson1.2.80及之前版本中的反序列化漏洞，并使用黑名单用于防御反序列化漏洞。该漏洞在特定条件下可绕过默认AutoType关闭限制，攻击远程服务器。

火绒安全已上线Fastjson漏洞本地检测工具，帮助用户排查本地是否有存在漏洞的Java库，请用户尽快自查更新进行防护。火绒安全产品不受此漏洞影响。

检测工具下载地址：https://down5.huorong.cn/tools/fastjsonDetectionTool.zip

修复建议

1、更新到最新版本 1.2.83

https://github.com/alibaba/fastjson/releases/tag/1.2.83

2、升级到Fastjson v2

https://github.com/alibaba/fastjson2/releases

3、开启安全模式

Fastjson在1.2.68及之后的版本中引入了SafeMode，配置SafeMode后，无论白名单和黑名单，都不支持AutoType，可杜绝反序列化Gadgets类变种攻击（关闭AutoType注意评估对业务的影响）

开启方法参考：https://github.com/alibaba/fastjson/wiki/fastjson_safemode

官方通告：

https://github.com/alibaba/fastjson/wiki/security_update_20220523