1、漏洞概述
近日,WebRAY安全服务产品线监测到Fastjson官方发布公告,修复了一个存在Fastjson1.2.80版本以及之前的版本的反序列化漏洞。
Fastjson是一个由Java语言编写的高性能JSON库,它采用名为“假定有序快速匹配”的算法将JSON Parse的性能提升到极致。由于Fastjson接口简单易用,目前已被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景中。
由于Fastjson基于autoType黑白名单对反序列化漏洞进行防御的安全机制存在缺陷,成功利用该缺陷可绕过autoType的防御机制,从而导致Fastjson将存在风险的类进行反序列化处理,以达到执行远程代码的目的。
WebRAY安全服务产品线也将持续关注该漏洞进展,并及时为您更新该漏洞信息。
2、影响范围
| 漏洞组件 | 漏洞类型 | 影响版本 |
| Fastjson | 反序列化漏洞 | Fastjson≤ 1.2.80 |
3、漏洞等级
WebRAY安全服务产品线风险评级:高危
![SpringMVC 返回json的两种方式[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)