Fastjson 安全漏洞

远程代码执行漏洞

1. Fastjson <= 1.2.68 反序列化远程代码执行漏洞：Fastjson采用黑白名单的方法来防御反序列化漏洞，导致当黑客不断发掘新的反序列化Gadgets类时，在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制，造成远程命令执行漏洞。 影响版本 fastjson <=1.2.68 fastjson sec版本 <= sec9 安全版本 fastjson >=1.2.69 fastjson sec版本 >= sec10

2. Fastjson版本低于1.2.58远程代码执行漏洞：当应用或系统使用 Fastjson 对由用户可控的 JSON 字符串数据进行解析时，将可能导致远程代码执行的危害。 影响版本：1.2.48以下版本

3. fastjson <= 1.2.80 反序列化任意代码执行漏洞：fastjson已使用黑白名单用于防御反序列化漏洞，经研究该利用在特定条件下可绕过默认autoType关闭限制，攻击远程服务器，风险影响较大。 影响版本：fastjson≤1.2.80

出现范围

• rocketmq

处理建议

方法一：升级到1.2.83或更新版本，参考： https://github.com/alibaba/fastjson/releases/tag/1.2.83

方法二：fastjson在1.2.68及之后的版本开启safeMode。开启方法可参考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode

方法三：可升级到fastjson v2 ，参考：https://github.com/alibaba/fastjson2/releases

方法四：如果没用到fastjson的话，进行删除。