基本信息
CVE编号:CVE-2022-25845 漏洞类型:不安全的反序列化 危险等级:高危 受影响应用版本:FastJSON <= 1.2.80 (非 noneAutoType 版本)
修复建议
1、升级到 1.2.83 及以上版本,或使用 noneAutoType 版本。
2、淋湿修复建议,开启autoType 功能受影响的用户可以关闭以规避风险,另建议将JDK升级到最新版本。
由于 autoType 开关的限制可被绕过,需升级到1.2.68及以上版本,通过开启 safeMode 配置完全禁用 autoType。三种配置 safeMode 的方法:
1)代码中配置:ParserConfig.getGloballnstance().setSafeMode(true)
2)加上 JVM 启动参数:-D fastjson.parser.safeMode=true
(如果有多个包名前缀,可使用逗号隔开)
3)通过类路径的 fastjson.properties 文件来配置:fastjson.parser.safeMode=true