Fastjson官方再次披露严重漏洞,包括rocketmq、jeecg-boot等近15%的github开源项目受影响

Fastjson官方再次披露严重漏洞,包括rocketmq、jeecg-boot等近15%的github开源项目受影响

2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认autoType关闭限制,可能会导致远程服务器被攻击,风险影响较大。OSCS开源软件社区对此漏洞进行收录,漏洞信息如下:

漏洞评级:严重

影响组件:com.alibaba:fastjson

影响版本:<= 1.2.80

更多漏洞详细信息可进入OSCS社区查看:https://www.oscs1024.com/hd/MPS-2022-11320

同时,OSCS社区对Github上7000+个java项目进行了整体扫描,发现本次漏洞至少影响1031个项目,其中star大于500的项目达到290个。

受到此次漏洞影响的热门项目如下:

项目 项目
/apache/rocketmq /jeecgboot/jeecg-boot
/alibaba/Sentinel /xkcoding/spring-boot-demo
/Tencent/APIJSON /alibaba/DataX
/zhaojun1998/zfile /alibaba/jetcache
/alibaba/yugong /alibaba/GraphScope

漏洞检测分析工具: http://github.com/murphysecurity/murphysec

OSCS建议您以下三种修复方式:

1、升级到1.2.83版本,该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,需要注意。

2、开启safeMode来禁用autoType,开启方式参考官方说明:https://github.com/alibaba/fastjson/wiki/fastjson_safemode

3、使用fastjson V2版本,不完全兼容1.x,升级需要做认真的兼容测试。

OSCS联合墨菲安全为您提供了快速检测工具,能够帮助您快速排查项目是否受到影响

同时,OSCS也欢迎您加入OSCS社区,成为守护者计划的一员;

加入守护者计划之后,OSCS会对您的项目进行持续的监测和扫描,一旦发现有安全风险,将会提醒您进行关注;

加入方式:https://www.oscs1024.com/join

OSCS也欢迎各位开发者们,引用依赖之前可以来OSCS(oscs1024.com)搜一搜,看一看, 让自己的代码更安全。


文章标签:

原文连接:https://juejin.cn/post/7101135367801143309

相关推荐

Jackson 解析 JSON 详细教程

Node.js精进(11)——Socket.IO

Js实现继承的6种方式

【跟着大佬学JavaScript】之数组去重(结果对比)

flv.js的追帧、断流重连及实时更新的直播优化方案

Node.js精进(10)——性能监控(下)

【js逆向爬虫】-有道翻译js逆向实战

性能吊打 Node.js 和 Deno 的新一代 javaScript 运行时-Bun.js

JsetPack组件App StartUp的使用示例

three.js 性能优化

JsonPath:针对json的强大的规则解析与参数查找工具

XJSON 是如何实现四则运算的?

js异步编程、Promise的应用以及在循环中、递归的时候使用Promise。

如何实现一个 JSON 解析库

Three.js系列: 在元宇宙看电影,享受 VR 视觉盛宴

Node.js精进(9)——性能监控(上)

autojs悬浮窗模拟toast气泡

【跟着大佬学JavaScript】之lodash防抖节流合并

本地使用 Docker Compose 与 Nestjs 快速构建基于 Dapr 的 Redis 发布/订阅分布式应用

【跟着大佬学JavaScript】之节流