【背景】
经过腾讯安全御见威胁情报中心验证,在jackson-databind 中反序列化漏洞(CVE-2020-8840)的 gadget 也同样影响了最新的Fastjson1.2.62 版本,利用该漏洞可实现远程代码执行。
【漏洞详情】
在jackson-databind 中反序列化漏洞(CVE-2020-8840)的 gadget 也同样影响了最新的Fastjson1.2.62版本,可实现远程代码执行。漏洞是由于CVE-2020-8840的gadget(xbean-reflect)绕过了Fastjson黑名单而导致的。要利用该漏洞需要开启autoType功能(autoType默认关闭)。
【风险评级】中危
【漏洞验证】
【影响版本】
Fastjson <= 1.2.62
【修复建议】
1.Fastjson默认关闭autotype,请检查项目中是否开启了autotype,删除相关代码:
ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
2.升级到最新的JDK
3.腾讯T-Sec高级威胁检测系统(腾讯御界)已升级,可检测针对该漏洞的攻击
【参考链接】
https://github.com/FasterXML/jackson-databind/issues/2620#
https://qiita.com/shimizukawasaki/items/201e38dd6fe203b1d287