一、漏洞概述
2022年05月23日, Fastjson官方发布安全公告,声明修复了一处特定条件下的反序列化远程代码执行漏洞,该漏洞利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。
影响版本: 特定依赖存在下影响 ≤1.2.80
二.漏洞修复建议:
1,升级到最新版本 1.2.83,需要注意该版本涉及autoType机制变更,在某些场景可能会出现不兼容;
2,开启safeMode,参考:https://github.com/alibaba/fastjson/wiki/fastjson_safemode。
2022年05月27日