漏洞描述

Fastjson 由阿里巴巴开发的开源 JSON 解析库，由 JAVA 语言编写。 Fastjson 可以解析 JSON 格式的字符串，支持将 Java Bean 序列化为 JSON 字符串，也可以从 JSON 字符串反序列化到 Java Bean。由于具有执行效率高的特点，应用范围广泛。

漏洞危害

在 Fastjson 1.2.80 及以下版本中存在反序列化漏洞，攻击者可以在特定条件下绕过默认 autoType 关闭限制，从而反序列化有安全风险的类。该漏洞允许远程攻击者在目标机器上执行任意代码。

漏洞等级

高危

受影响版本

Fastjson≤1.2.80

修复方案

目前官方已在最新版本 1.2.83 中修复了该漏洞 ，请尽快升级版本进行防护。升级步骤如下 ：

1.备份原 fastjson 依赖库， 避免升级失败的情况发生 。

2.将低版本的 fastjson 库替换为 1.2.83 版 本 。

临时防护措施

若暂时无法进行升级操作， 也可使用下列方式进行缓解：由于 autoType 开关的限制可被绕过 ，升级 fastjson 至 1.2.68及以上版 本 ， 通过开启 safeMode 配置完全禁用 autoType。