Java 库 fastjson 被曝存“高危”远程代码执行漏洞

图片地址：https://img.ithome.com/newsuploadfiles/2020/5/20200531143516_4269.jpg

fastjson 当前版本为 1.2.68 发布于 3 月底，日前某安全运营中心监测到，fastjson <= 1.2.68 版本存在远程代码执行漏洞，漏洞被利用可直接获取服务器权限。360CERT 将漏洞等级定为“高危”。该远程代码执行漏洞原理是，autotype 开关的限制可以被绕过，链式反序列化攻击者可以通过精心构造反序列化利用链，最终达成远程命令执行。此漏洞本身无法绕过 fastjson 的黑名单限制，需要配合不在黑名单中的反序列化利用链才能完成完整的漏洞利用。目前 fastjson 官方还未发布修复版本，使用者可以升级到 fastjson 1.2.68 版本，并通过配置 ParserConfig.getGlobalInstance().setSafeMode(true) 参数开启 SafeMode 防护攻击，不过需要注意的是 safeMode 会完全禁用