Fastjson官方再次披露严重漏洞,包括rocketmq、jeecg-boot等近15%的github开源项目受影响
Fastjson官方再次披露严重漏洞,包括rocketmq、jeecg-boot等近15%的github开源项目受影响
2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认autoType关闭限制,可能会导致远程服务器被攻击,风险影响较大。OSCS开源软件社区对此漏洞进行收录,漏洞信息如下:
漏洞评级:严重
影响组件:com.alibaba:fastjson
影响版本:<= 1.2.80
更多漏洞详细信息可进入OSCS社区查看:www.oscs1024.com/hd/MPS-2022…
同时,OSCS社区对Github上7000+个java项目进行了整体扫描,发现本次漏洞至少影响1031个项目,其中star大于500的项目达到290个。
受到此次漏洞影响的热门项目如下:
| 项目 | 项目 | |
|---|---|---|
| /apache/rocketmq | /jeecgboot/jeecg-boot | |
| /alibaba/Sentinel | /xkcoding/spring-boot-demo | |
| /Tencent/APIJSON | /alibaba/DataX | |
| /zhaojun1998/zfile | /alibaba/jetcache | |
| /alibaba/yugong | /alibaba/GraphScope |
漏洞检测分析工具: github.com/murphysecur…
OSCS建议您以下三种修复方式:
1、升级到1.2.83版本,该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,需要注意。
2、开启safeMode来禁用autoType,开启方式参考官方说明:github.com/alibaba/fas…
3、使用fastjson V2版本,不完全兼容1.x,升级需要做认真的兼容测试。
OSCS联合墨菲安全为您提供了快速检测工具,能够帮助您快速排查项目是否受到影响
同时,OSCS也欢迎您加入OSCS社区,成为守护者计划的一员;
加入守护者计划之后,OSCS会对您的项目进行持续的监测和扫描,一旦发现有安全风险,将会提醒您进行关注;
OSCS也欢迎各位开发者们,引用依赖之前可以来OSCS(oscs1024.com)搜一搜,看一看, 让自己的代码更安全。