Vunerabilidade de execução remota de código FASTJSON

 A restrição de fechamento autoType padrão pode ser ignorada sob certas condições. Um invasor pode explorar essa vulnerabilidade para obter a execução remota de código na máquina de destino.

Fastjson é uma biblioteca Java que pode ser usada para converter objetos Java em sua representação JSON. Ele também pode ser usado para converter uma string JSON em um objeto Java equivalente. Fastjson pode trabalhar com objetos Java arbitrários, incluindo objetos pré-existentes dos quais você não possui código-fonte.

O CVE para a vulnerabilidade de execução remota de código FASTJSON ainda não está disponível.

Versão afetada

• Fastjson ≤ 1.2.80

Versão não afetada

• Fastjson 1.2.83

Solução

A esse respeito, recomendamos que os usuários atualizem o Fastjson para a versão mais recente a tempo.

Medidas de proteção temporárias
Se o usuário estiver temporariamente impossibilitado de realizar a operação de atualização, os seguintes métodos também podem ser usados ​​para mitigação: Como a limitação do switch autotype pode ser ignorada, os usuários afetados são solicitados a atualizar o fastjson para a versão 1.2.68 e superior e desabilitar o autotype completamente ativando a configuração safeMode. As três maneiras de configurar o SafeMode são as seguintes:

1. Configure no código:
   ParserConfig.getGlobalInstance().setSafeMode(true);
2. Use os parâmetros de inicialização da JVM
   -Dfastjson.parser.safeMode=true
3. Configure através do arquivo de propriedades
   fastjson.parser.safeMode=true

Fonte: https://securityonline.info/