FastJson代码执行漏洞(CVE-2022-25845) 修复

2023-04-17T15:22:00

漏洞描述:

Fastjson是一款基于Java的快速JSON解析器/生成器。
Fastjson 1.2.83 之前版本存在安全漏洞,该漏洞源于容易绕过默认的 autoType 关闭限制来反序列化不受信任的数据,攻击者利用该漏洞可以攻击远程服务器。
noneautotype版本不受影响,请忽略

参考:security_update_20220523,有几条可用的方案:

  • 升级到最新版本1.2.83
  • safeMode加固
  • 升级到fastjson v2(与使用的 v1 不兼容,暂不考虑)
  • noneautotype版本(mvnrepo 看到有 1 vulnerability,暂不考虑)

所以最直接的方法就是升级版本了:

        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.83</version>
        </dependency>

更新 maven 依赖即可。

当前页面是本站的「Baidu MIP」版。发表评论请点击:完整版 »