漏洞简述2022年5月23日,fastjson官方发布安全公告,fastjson<=1.2.80存在反序列化任意代码执行漏洞,可绕过默认autoType关机限制可能导致远程服务器被攻击,风险影响较大。建议使用过fastjson的用户尽快做好安全措施,确保系统安全。漏洞等级:严重受影响组件:com.alibaba:fastjson受影响版本:<=1.2.80建议解决方案一:升级到1.2.83版本,涉及到autotype行为的改变,在某些场景下可能不兼容。需要注意。方法二:开启safeMode关闭autoType。开启方法参考官方说明:https://github.com/alibaba/fa...方法三:使用fastjsonV2版本,不完全兼容1.x。升级需要仔细进行兼容测试。如何快速排查MurphySecurity目前支持对该漏洞的检测,可以使用MurphySecurityPlatform和开源工具进行检测和修复。MurphySecurity开源CLI工具使用CLI工具在命令行检测指定目录下代码的依赖安全问题工具地址:https://github.com/murphysecu...具体使用方法请参考项目README或官方文档说明:仅检测如果发生在你本地环境,不会上传代码到服务器。MurphySecurityIDE插件可以检测IDE中代码依赖的安全问题,通过精准的修复方案和一键修复功能快速解决安全问题。使用方法:在IDE插件市场搜索“murphysec”安装(查看文档)选择“点击开始扫描”,检测代码中存在哪些安全漏洞。以上检测方式可以在墨菲安全平台查看详细检测结果,可以查看项目的直接或间接依赖信息。参考链接:https://github.com/alibaba/fastjson/wiki/security_update_20220523
