Fastjson是一款开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
一、漏洞分析
公开日期:2022-05-23
漏洞编号:CNVD-2022-40233
危害等级:高危
漏洞描述:Fastjson存在远程代码执行漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType关闭限制,从而反序列化有安全风险的类。 在特定条件下这可能导致远程代码执行。
二、漏洞影响产品
FastJson fastjson <=1.2.80
三、漏洞处置建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/alibaba/fastjson/wiki/security_update_20220523
