安全公告/【CVE-2023-21979】

基本信息

漏洞描述

FastJSON是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点，应用范围广泛。FastJSON 存在远程代码执行漏洞，可直接获取到服务器权限。漏洞成因是Fastjson autotype开关的限制可被绕过，然后链式地反序列化某些原本不能被反序列化的有安全风险的类。

修复方式

1.将 FastJSON 升级到 1.2.69 及以上版本，sec版本升级到 sec10 及以上版本，下载地址：https://repo1.maven.org/maven2/com/alibaba/fastjson/
2.临时修复建议：开启了autoType功能的受影响用户可通过关闭autoType来规避风险，另建议将JDK升级到最新版本。
   由于autotype开关的限制可被绕过，请受影响用户升级到FastJSON 1.2.68及以上版本，通过开启safeMode配置完全禁用autoType。三种配置SafeMode的方式如下:
  1）在代码中配置： ParserConfig.getGlobalInstance().setSafeMode(true);
  2）加上JVM启动参数： -Dfastjson.parser.safeMode=true （如果有多个包名前缀，可用逗号隔开）
  3）通过类路径的fastjson.properties文件来配置： fastjson.parser.safeMode=true

漏洞判定

版本比对检测原理：检查当前系统中FastJSON版本是否小于等于1.2.68，sec版本小于等于sec09|版本比对检测结果：- fastjson
  当前安装版本：1.2.6
  应用相关信息：
  - 进程PID：12696
  - 应用路径：/home/weblogic12/user_projects/domains/csbPay_domain/WebRoot/WEB-INF/lib/fastjson-1.2.6.jar
该主机存在此漏洞

参考

--