【漏洞详情】

Fastjson是阿里巴巴的开源JSON解析库，近日，平安云安全中心监控到Fastjson <=1.2.68全版本存在远程代码执行漏洞，此漏洞源于autotype开关的限制可被绕过，并反序列化某些不在黑名单中的类，成功后利用后可获取服务器权限。

【风险评级】

高危

【影响范围】

l  Fastjson <= 1.2.68

【修复建议】

目前官方暂未发布修复版本，建议用户依据实际业务评估漏洞影响，可通过如下方案缓解安全风险：

1）关注官方版本更新，及时升级到安全版本；

2）升级到 Fastjson 1.2.68 版本，通过配置以下参数开启 SafeMode 来防护攻击： ParserConfig.getGlobalInstance().setSafeMode(true)，此方法会完全禁用 autotype，请操作前注意评估对业务影响;

3）推荐采用 Jackson-databind 或者 Gson 等组件进行替换。

【参考链接】

https://github.com/alibaba/fastjson/releases

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2020年5月28日