Fastjson库中的高危漏洞可能导致远程代码执行

关键要点

Fastjson库存在一个高危漏洞，可能被恶意行为者利用。漏洞影响所有使用Fastjson版本1280及更早版本的Java应用。并不使用特定类进行反序列化的情况更易受攻击。用户被建议升级至Fastjson版本1283，或启用safeMode以防止攻击。

据The Hacker News报道，广泛使用的Fastjson库中存在一个高严重度的漏洞，恶意行为者可能会利用该漏洞实现远程代码执行。该漏洞已经被修复，追踪编号为CVE202225845，影响所有依赖于Fastjson版本1280或更早版本的Java应用，尤其是在没有指定反序列化特定类的情况下，将用户控制的数据传递给JSONparse或JSONparseObject API的情况。

JFrog的Uriya Yavnieli表示，用户被建议将Fastjson更新至版本1283，另外，他们还可以启用safeMode功能，该功能会禁用易受攻击的AutoType功能，无论使用的白名单和黑名单如何，这都能有效防止反序列化攻击。Yavnieli补充道：“虽然存在公共的PoC概念验证漏洞利用工具，并且潜在影响非常大远程代码执行，但攻击条件并不简单将不受信任的输入传递给特定的易受攻击API，而且最重要的是需要针对特定目标进行研究，以找到合适的工具类进行利用。”

Fastjson 库受到高危 RCE 漏洞影响媒体漏洞信息描述漏洞名称CVE202225845漏洞类型远程代码执行RCE受影响版本Fastjson 1280及之前版本修复版本Fastjson 1283及以后版本