阿里云漏洞库

CVE编号

CVE-2022-25845

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2022-06-11

Fastjson是一款基于Java的快速JSON解析器/生成器。

Fastjson 1.2.83 之前版本存在安全漏洞，该漏洞源于容易绕过默认的 autoType 关闭限制来反序列化不受信任的数据，攻击者利用该漏洞可以攻击远程服务器。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://github.com/alibaba/fastjson/wiki/security_update_20220523

参考链接
https://github.com/alibaba/fastjson/commit/35db4adad70c32089542f23c272def1ad920a60d
https://github.com/alibaba/fastjson/commit/8f3410f81cbd437f7c459f8868445d50ad301f15
https://github.com/alibaba/fastjson/releases/tag/1.2.83
https://github.com/alibaba/fastjson/wiki/security_update_20220523
https://snyk.io/vuln/SNYK-JAVA-COMALIBABA-2859222
https://www.ddosi.org/fastjson-poc/
https://www.oracle.com/security-alerts/cpujul2022.html

CWE-ID	漏洞类型
CWE-502	可信数据的反序列化