安全公告/【CVE-2022-25845】
基本信息
漏洞名称:FastJSON<=1.2.80 反序列化漏洞(CVE-2022-25845)
受影响操作系统:Asianux Server 4 (Hiranya SP4)
危险等级:超危
影响源码包:FastJSON
CVSS评分:9.8
发现日期:2024-03-29
漏洞描述
FastJSON是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点,应用范围广泛。 FastJSON 存在反序列化远程代码执行漏洞,漏洞成因是Fastjson autoType开关的限制可被绕过,然后反序列化有安全风险的类。攻击者利用该漏洞可实现在目标机器上的远程代码执行。
修复方式
1.将 FastJSON 升级到 1.2.83 及以上版本,或noneautotype版本,下载地址:https://repo1.maven.org/maven2/com/alibaba/fastjson/ 2.临时修复建议:开启了autoType功能的受影响用户可通过关闭autoType来规避风险,另建议将JDK升级到最新版本。 由于autotype开关的限制可被绕过,请受影响用户升级到FastJSON 1.2.68及以上版本,通过开启safeMode配置完全禁用autoType。三种配置SafeMode的方式如下: 1)在代码中配置: ParserConfig.getGlobalInstance().setSafeMode(true); 2)加上JVM启动参数: -Dfastjson.parser.safeMode=true (如果有多个包名前缀,可用逗号隔开) 3)通过类路径的fastjson.properties文件来配置: fastjson.parser.safeMode=true
漏洞判定
版本比对检测原理:检查当前系统中FastJSON版本是否小于等于1.2.80以及是否为非noneautotype版本|版本比对检测结果:- fastjson 当前安装版本:1.1.24 应用相关信息: - 进程PID:867 - 应用路径:/app/fsvcweb/FSvcWeb/webapps/ROOT/WEB-INF/lib/fastjson-1.1.24.jar 该主机存在此漏洞
参考
CVE-2022-25845,CNVD-2022-51879,,CNNVD-202206-1037