安全公告/【CVE-2023-21979】

基本信息

漏洞描述

FastJSON是一个Java 语言实现的 JSON 解析器和生成器。Fastjson远程代码执行漏洞是由于使用br.com.anteros.dbcp.AnterosDBCPConfig类，绕过了Fastjson的黑名单而导致。当服务端加载了存在受漏洞影响的Anteros-DBCP依赖，并且开启了Fastjson的autoType时，远程攻击者可以通过构造的攻击代码触发远程代码执行漏洞，最终可以获取到服务器的控制权限。

修复方式

Fastjson中默认关闭autoType功能，开启了autoType功能的受影响用户可通过关闭autoType来规避风险。
Fastjson近几个漏洞均是使用黑名单的方式修复，很容易造成绕过，产生新的漏洞，建议关闭autotype功能。
autoType关闭方法如下：
方法一：在项目源码中全文搜索如下代码，找到并将此行代码删除：
ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
方法二：在JVM中启动项目时，切勿添加以下参数：
-Dfastjson.parser.autoTypeSupport=true
也可参考该链接中的方式来进行关闭：https://github.com/alibaba/fastjson/wiki/enable_autotype

漏洞判定

版本比对检测原理：检查当前系统中FastJSON版本是否小于等于1.2.66|版本比对检测结果：- fastjson
  当前安装版本：1.2.6
  应用相关信息：
  - 进程PID：12696
  - 应用路径：/home/weblogic12/user_projects/domains/csbPay_domain/WebRoot/WEB-INF/lib/fastjson-1.2.6.jar
该主机存在此漏洞

参考

--