Fastjson库中的高危漏洞可能导致远程代码执行

关键要点

• Fastjson库存在一个高危漏洞，可能被恶意行为者利用。
• 漏洞影响所有使用Fastjson版本1.2.80及更早版本的Java应用。
• 并不使用特定类进行反序列化的情况更易受攻击。
• 用户被建议升级至Fastjson版本1.2.83，或启用safeMode以防止攻击。

据报道，广泛使用的Fastjson库中存在一个高严重度的漏洞，恶意行为者可能会利用该漏洞实现。该漏洞已经被修复，追踪编号为CVE-2022-25845，影响所有依赖于Fastjson版本1.2.80或更早版本的Java应用，尤其是在没有指定反序列化特定类的情况下，将用户控制的数据传递给JSON.parse或JSON.parseObjectAPI的情况。

JFrog的UriyaYavnieli表示，用户被建议将Fastjson更新至版本1.2.83，另外，他们还可以启用safeMode功能，该功能会禁用易受攻击的AutoType功能，无论使用的白名单和黑名单如何，这都能有效防止反序列化攻击。Yavnieli补充道：“虽然存在公共的PoC（概念验证）漏洞利用工具，并且潜在影响非常大（远程代码执行），但攻击条件并不简单（将不受信任的输入传递给特定的易受攻击API），而且最重要的是需要针对特定目标进行研究，以找到合适的工具类进行利用。”

漏洞信息 | 描述
—|—
漏洞名称 | CVE-2022-25845
漏洞类型 | 远程代码执行（RCE）
受影响版本 | Fastjson 1.2.80及之前版本
修复版本 | Fastjson 1.2.83及以后版本

提醒 ：为了保护应用安全，务必及时更新使用的库版本并采取相应的防护措施。