Skip to content

基本信息

CVE编号:CVE-2022-25845 漏洞类型:不安全的反序列化 危险等级:高危 受影响应用版本:FastJSON <= 1.2.80 (非 noneAutoType 版本)

修复建议

1、升级到 1.2.83 及以上版本,或使用 noneAutoType 版本。 2、淋湿修复建议,开启autoType 功能受影响的用户可以关闭以规避风险,另建议将JDK升级到最新版本。 由于 autoType 开关的限制可被绕过,需升级到1.2.68及以上版本,通过开启 safeMode 配置完全禁用 autoType。三种配置 safeMode 的方法: 1)代码中配置:ParserConfig.getGloballnstance().setSafeMode(true) 2)加上 JVM 启动参数:-D fastjson.parser.safeMode=true(如果有多个包名前缀,可使用逗号隔开) 3)通过类路径的 fastjson.properties 文件来配置:fastjson.parser.safeMode=true

不安全的反序列化