近日Fastjson Develop Team发布安全公告,Fastjson≤1.2.80版本中存在反序列化漏洞。攻击者可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。
目前Jeecgboot官方已完成修复,在此 建议Jeecgboot用户尽快修复。
修复方案非常简单:
- 1.修改jeecg-boot\pom.xml文件中的,fastjson及jeewx-api版本
- 2.修改jeecg-boot-module-system/pom.xml文件,添加fastjson排除
点击可参考修复方案。
漏洞描述
-
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,由于具有执行效率高的特点,应用范围广泛。
-
fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。
官方安全建议
-
1.升级到最新版本1.2.83
https://github.com/alibaba/fastjson/releases/tag/1.2.83该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇遇到问题可以到
https://github.com/alibaba/fastjson/issues寻求帮助。 -
2.fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。
开启方法可参考
https://github.com/alibaba/fastjson/wiki/fastjson_safemode。1.2.83修复了此次发现的漏洞,开启safeMode是完全关闭autoType功能,避免类似问题再次发生,这可能会有兼容问题,请充分评估对业务影响后开启。
-
3.可升级到fastjson v2
https://github.com/alibaba/fastjson2/releases
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 全程不用写代码,我用AI程序员写了一个飞机大战
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· 记一次.NET内存居高不下排查解决与启示
· 白话解读 Dapr 1.15:你的「微服务管家」又秀新绝活了
· DeepSeek 开源周回顾「GitHub 热点速览」