漏洞描述

FastJSON是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点，应用范围广泛。 FastJSON 存在反序列化远程代码执行漏洞，漏洞成因是Fastjson autoType开关的限制可被绕过，然后反序列化有安全风险的类。攻击者利用该漏洞可实现在目标机器上的远程代码执行。

基本信息

· CVE编号：CVE-2022-25845

· 漏洞类型：不安全的反序列

· 危险等级：高危

· 受影响应用版本：FastJSON ＜= 1.2.80（非noneautotype版本）

· 检测方式：版本对比

· 是否加入全局：是

· 公布时间： 2022-05-23

· 风险特征：远程利用

· CVSS评分： 7

· CVSS详情： AV:N/AC:M/Au:N/C:P/I:P/A:P

修复建议

1.将 FastJSON 升级到 1.2.83 及以上版本，或noneautotype版本，下载地址：https://repo1.maven.org/maven2/com/alibaba/fastjson

2.临时修复建议：开启了autoType功能的受影响用户可通过关闭autoType来规避风险，另建议将JDK升级到最新版本。

由于autotype开关的限制可被绕过，请受影响用户升级到FastJSON 1.2.68及以上版本，通过开启safeMode配置完全禁用autoType。三种配置SafeMode的方式如下:

1）在代码中配置： ParserConfig.getGlobalInstance().setSafeMode(true);

2）加上JVM启动参数： -Dfastjson.parser.safeMode=true （如果有多个包名前缀，可用逗号隔开）

3）通过类路径的fastjson.properties文件来配置： fastjson.parser.safeMode=true