FastJson代码执行漏洞(CVE-2022-25845) 修复
漏洞描述:
Fastjson是一款基于Java的快速JSON解析器/生成器。
Fastjson 1.2.83 之前版本存在安全漏洞,该漏洞源于容易绕过默认的 autoType 关闭限制来反序列化不受信任的数据,攻击者利用该漏洞可以攻击远程服务器。
noneautotype版本不受影响,请忽略
参考:security_update_20220523,有几条可用的方案:
- 升级到最新版本1.2.83
- safeMode加固
- 升级到fastjson v2(与使用的 v1 不兼容,暂不考虑)
- noneautotype版本(mvnrepo 看到有
1 vulnerability
,暂不考虑)
所以最直接的方法就是升级版本了:
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.83</version>
</dependency>
更新 maven 依赖即可。