关于fastjson反序列化漏洞的预警提示-7411威尼斯

一、漏洞详情

fastjson是阿里巴巴开源的java对象和json格式字符串的快速转换的工具库。可以解析json格式的字符串，支持将java bean序列化为json字符串，也可以从json字符串反序列化到javabean。

近日，fastjson官方发布安全公告，修复了一处反序列化漏洞，攻击者在特定条件下可绕过默认autotype关闭限制，利用该漏洞攻击远程服务器，风险较大。

建议受影响用户做好预防工作，以免遭受黑客攻击。

二、影响范围

fastjson <= 1.2.80

三、修复建议

官方修复建议：

1.可升级到fastjson v2 ，下载地址：https://github.com/alibaba/fastjson2/releases

2.升级到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83 。该版本涉及autotype行为变更，在某些场景会出现不兼容的情况。

3.配置safemode，fastjson在1.2.68及之后的版本中引入了safemode，开启safemode配置后，无论白名单和黑名单，都不支持autotype，可杜绝反序列化gadgets类变种攻击。（注意：关闭autotype请评估对业务的影响。）