预警通报

网络安全预警通报

2022年第4期 （总第31期）

西安交通大学网络信息中心 2022年5月27日

_____________________________________________

【预警类型】高危预警

【预警内容】

安全通告-《Fastjson反序列化远程代码 执行漏洞》

一、漏洞概述

2022年05月23日， Fastjson官方发布安全公告，声明修复了一处特定条件下的反序列化远程代码执行漏洞，该漏洞利用在特定条件下可绕过默认autoType关闭限制，攻击远程服务器，风险影响较大。

影响版本: 特定依赖存在下影响 ≤1.2.80

二．漏洞修复建议:

1，升级到最新版本 1.2.83，需要注意该版本涉及autoType机制变更，在某些场景可能会出现不兼容；

2，开启safeMode，参考：https://github.com/alibaba/fastjson/wiki/fastjson_safemode。

2022年05月27日