• 发布时间 2020-05-28
• 更新时间 2020-05-28
• 漏洞等级 High
• CVE编号

漏洞详情

Fastjson存在远程代码执行漏洞，autotype开关的限制可以被绕过，链式的反序列化攻击者精心构造反序列化利用链，最终达成远程命令执行的后果。此漏洞本身无法绕过Fastjson的黑名单限制，需要配合不在黑名单中的反序列化利用链才能完成完整的漏洞利用。

影响范围

Fastjson < 1.2.69
Fastjson sec版本 < sec10
android版本不受此漏洞影响

修复方案

1.升级至安全版本，参考以下链接：
https://repo1.maven.org/maven2/com/alibaba/fastjson/
注意：较低版本升级至最新版本1.2.69可能会出现兼容性问题，建议升级至特定版本的sec10 bugfix版本，具体参考：
https://github.com/alibaba/fastjson/wiki/security_update_20200601
2.fastjson加固
fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，无论白名单和黑名单，都不支持autoType，可一定程度上缓解反序列化Gadgets类变种攻击，开启方法参考：
https://github.com/alibaba/fastjson/wiki/fastjson_safemode
注意：safeMode 会完全禁用 autotype，无视白名单，请注意评估对业务影响;
3.使用UCloud WAF进行安全防御：https://www.ucloud.cn/site/product/uewaf.html

参考链接

https://github.com/alibaba/fastjson/
https://github.com/alibaba/fastjson/releases/tag/1.2.69