高危安全漏洞Fastjson | 新发现高危autotype开关绕过安全漏洞_由于autotype开关的限制可被绕过,通过开启safemode配置完全禁用autotype。三种配

作者：Guff_9hys | 2024-08-09 15:02:44

踩

由于autotype开关的限制可被绕过,通过开启safemode配置完全禁用autotype。三种配

Fastjson <=1.2.68版本存在远程代码执行漏洞，漏洞被利用可直接获取服务器权限。

Fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean 。

本次漏洞发现，其autotype开关的限制可被绕过，然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。

漏洞实际造成的危害与 gadgets 有关，gadgets中使用的类必须不在黑名单中，本漏洞无法绕过黑名单的限制。

可以采取以下方案进行解决：

1.直接更新版本，现在可升级至最新的 1.2.70 版本；
2.Fastjson 1.2.68 版本，通过配置以下参数开启 SafeMode 来防护攻击：ParserConfig.getGlobalInstance().setSafeMode(true);（safeMode 会完全禁用 autotype，无视白名单，请注意评估对业务影响）。

在这里插入图片描述

欢迎关注公众号：慌途L
后面会慢慢将文章迁移至公众号，也是方便在没有电脑的情况下可以进行翻阅，更新的话会两边同时更新，大家不用担心！
在这里插入图片描述

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/Guff_9hys/article/detail/953850