1、漏洞概述

近日，Fastjson Develop Team發布安全公告，修復了一個存在于Fastjson1.2.80及之前版本中的反序列化漏洞。

Fastjson是一個由JAVA語言編寫的高性能JSON庫，它采用名為“假定有序快速匹配”的算法將JSON Parse的性能提升到極致。由于Fastjson接口簡單易用，目前已被廣泛使用在緩存序列化、協議交互、Web輸出、Android客戶端等多種應用場景中。

由于Fastjson基于autoType黑白名單對反序列化漏洞進行防御的安全機制存在缺陷，成功利用該缺陷可繞過autoType的防御機制，從而導致Fastjson將存在風險的類進行反序列化處理，以達到執行遠程代碼的目的。

2、受影響的版本

特定依賴存在下影響 ≤1.2.80

3、漏洞等級

風險評級：高危！

4、修復建議

1. 升級到新版本1.2.83，下載地址：

https://github.com/alibaba/fastjson/releases/tag/1.2.83

該版本涉及autotype行為變更，在某些場景會出現不兼容的情況，如遇到問題可以到 https://github.com/alibaba/fastjson/issues 尋求幫助。）

5.開源字節低代碼平臺會受影響嗎？該如何處理？

答：會的。因為我們也在使用Fastjson，且版本號是<fastjson.version>1.2.79</fastjson.version>，我們已經升級到最新版1.2.83，fork代碼的同學可以pull最新的代碼。或者手動修改一下父工程中的版本號，如下圖所示：

如若轉載，請注明出處：開源字節
https://sourcebyte.cn/article/140.html