Fastjson 被曝出“高危”远程代码执行漏洞

作者 | 万佳

5 月 28 日，360 网络安全响应中心（360-CERT）发布“Fastjson 远程代码执行漏洞通告”。通告称， Java 库 fastjson <= 1.2.68 版本存在远程代码执行漏洞，漏洞被利用可直接获取服务器权限。360 网络安全响应中心评定其为“高危漏洞”，影响面“广泛”。

据悉，该漏洞的影响版本为 fastjson <=1.2.68 和 fastjson sec 版本 <= sec9，而 android 版本不受此漏洞影响。

同一天，腾讯云发布安全通告：

尊敬的腾讯云用户，您好！

近日，腾讯云安全运营中心监测到，Fastjson <=1.2.68 版本存在远程代码执行漏洞，漏洞被利用可直接获取服务器权限。

据悉，Fastjson 是阿里巴巴的开源 JSON 解析库，它能解析 JSON 格式的字符串，支持将 Java Bean 序列化为 JSON 字符串，也可以从 JSON 字符串反序列化到 JavaBean 。

Fastjson 采用黑白名单的方法来防御反序列化漏洞，导致当黑客不断发掘新的反序列化 Gadgets 类时，在 autoType 关闭的情况下仍然可以绕过黑白名单防御机制，造成远程命令执行漏洞。经过研究，该漏洞利用门槛较低，可绕过 autoType 限制，风险影响较大。

在《反序列化漏洞：使用了编译型语言，为什么还是会被注入？》中，安全专家何为舟解释道：黑客构造恶意的序列化数据，从而控制应用在反序列化过程中需要调用的类方法，最终实现任意方法调用。如果在这些方法中有命令执行的方法，黑客就可以在服务器上执行任意的命令。

 修复建议：

• 升级到 Fastjson 1.2.69/1.2.70 版本，下载地址为 Releases · alibaba/fastjson

• 或者通过配置以下参数开启 SafeMode 来防护攻击：ParserConfig.getGlobalInstance().setSafeMode(true);（safeMode 会完全禁用 autotype，无视白名单，请注意评估对业务影响）

截至笔者撰文时，官方已经修复高危安全漏洞，并发布了 1.2.69 版本和 1.2.70 版本。

 附：

360 网络安全响应中心：Fastjson 远程代码执行漏洞通告

腾讯云“Fastjson <=1.2.68 全版本远程代码执行漏洞通告”

---

【InfoQ 写作平台 ——Java 25 周年征文活动】

值此 Java25 周年之际，你对 Java 的过往演进有哪些最深刻的印象？你和 Java 之间有何故事、亲身体验？你如何看待它的未来以及它的替代者？你对 Java 有哪些吐槽、寄语？面对云原生、AI 等技术趋势，Java 又会出现哪些可能的改进呢？

即日起至 6 月 15 日 12 点，您只需在 InfoQ 写作平台发布以“Java”为主题的相关文章，即可有机会获得写作现金奖励、极客时间免费专栏阅码等多重好礼，扫码了解活动详情。

点个在看少个 bug 👇