漏洞风险提示（20220524）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Fastjson反序列化漏洞
一、漏洞描述：     
       
        Fastjson是阿里巴巴公司的一个开源java库，可用于将Java对象转换为其JSON表示，还可用于将JSON字符串转换为等效的Java对象，其性能从未被其他Java实现的JSON库超越。
        该漏洞是由于Fastjson在1.2.80及以下版本中使用黑白名单用于防御反序列化漏洞，但是该防御策略在特定条件下可绕过默认 autoType。恶意攻击者通过发送特制的反序列化数据至服务器，能够在目标系统上执行任意代码。
二、风险等级：
           高危
三、影响范围：
        Fastjson <= 1.2.80
四、修复建议：
        目前官方已发布更新补丁，请受影响用户及时升级到最新版本1.2.83，官方链接：
        https://github.com/alibaba/fastjson/releases/tag/1.2.83
        该版本涉及autotype行为变更，在某些场景会出现不兼容的情况，如遇遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。
        也可升级到 Fastjson v2，Fastjson v2地址：
        https://github.com/alibaba/fastjson2/releases
        Fastjson 已经开源2.0版本，在2.0版本中，不再为了兼容提供白名单，提升了安全性。Fastjson v2 代码已经重写，性能有了很大提升，不完全兼容1.x，升级需要做认真的兼容测试。升级遇到问题，可以在 https://github.com/alibaba/fastjson2/issues 寻求帮助。
       
        临时修复建议：
        Fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，无论白名单和黑名单，都不支持autoType，可杜绝反序列化Gadgets类变种攻击（关闭autoType注意评估对业务的影响），开启方法可参考：
        https://github.com/alibaba/fastjson/wiki/fastjson_safemode

---

2 Oracle E-Business Suite信息泄露漏洞（CVE-2022-21500）
一、漏洞描述：     
       
        Oracle E-Business Suite (EBS)是指 Oracle 提供的一组组合业务应用程序。它通常被称为 Oracle EBS、Oracle ERP 或 E-Biz。它由多个 Oracle 企业应用程序组成，可帮助具有各种流程的企业进行日常业务运营。
        该漏洞是由于未对HTTP请求进行正确的过滤，导致未经身份验证的攻击者可轻易的通过网络攻击Oracle E-Business Suite，从而访问系统关键信息和所有 Oracle E-Business Suite 可访问的数据。
二、风险等级：
           高危
三、影响范围：
        Oracle E-Business Suite 12.1
        Oracle E-Business Suite 12.2
四、修复建议：
        目前官方已发布更新补丁，请受影响用户及时关注并尽快更新，官方链接：
        https://www.oracle.com/security-alerts/alert-cve-2022-21500.html

---

3 Google-OAuth-Java-Client身份验证绕过漏洞（CVE-2021-22573）
一、漏洞描述：     
       
        Google OAuth Client Library for Java是Google开发的一个强大且易于使用的开源Java库，用于OAuth 1.0a和OAuth 2.0授权标准。该Java库旨在与网络上的任何OAuth服务一起使用，并建立在Google HTTP Client Libraryfor Java之上。
        该漏洞是由于IDToken验证程序没有验证令牌是否正确签名，导致的身份验证绕过漏洞。攻击者可以通过构造具有自定义受损令牌负载，绕过Google-OAuth-Java-Client的身份验证，进而获取目标主机访问权限。
二、风险等级：
           高危
三、影响范围：
        Google-OAuth-Java-Client < v1.33.3
四、修复建议：
        目前官方已发布更新补丁，请受影响用户及时关注并尽快更新，官方链接：
        https://github.com/googleapis/google-oauth-java-client/releases

---

4 Mozilla任意代码执行漏洞（CVE-2022-1802）
一、漏洞描述：     
       
        Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。
        该漏洞是由于顶级wait在实现中出现原型污染造成的问题，攻击者可通过原型污染破坏JavaScript 中的数组对象的方法，从而在上下文中执行任意JavaScript代码。
二、风险等级：
           高危
三、影响范围：
        Firefox ESR < 91.9.1
        Mozilla Thunderbird < 91.9.1
        Mozilla Firefox < 100.0.2
        Firefox for Android < 100.3.0
四、修复建议：
        目前官方已发布更新补丁，请受影响用户及时关注并尽快更新，官方链接：
        https://www.firefox.com.cn/