【漏洞描述】

近日，監(jiān)測(cè)到Fastjson官方發(fā)布安全公告，修復(fù)了一處反序列化漏洞，攻擊者在特定條件下可繞過(guò)默認(rèn)autoType關(guān)閉限制，利用該漏洞攻擊遠(yuǎn)程服務(wù)器，風(fēng)險(xiǎn)較大。fastjson被眾多java軟件作為組件集成，廣泛存在于java應(yīng)用的服務(wù)端代碼中。目前，官方已發(fā)布最新安全版本，建議使用該組件的用戶(hù)盡快采取安全措施。

參考鏈接：

https://github.com/alibaba/fastjson/wiki/security_update_20220523

嚴(yán)重等級(jí)：高危

【影響范圍】

Fastjson≤1.2.80

【修復(fù)建議】

目前漏洞細(xì)節(jié)和利用代碼暫未公開(kāi)，但可以通過(guò)補(bǔ)丁對(duì)比方式定位漏洞觸發(fā)點(diǎn)并開(kāi)發(fā)漏洞利用代碼，建議部署相關(guān)產(chǎn)品的用戶(hù)及時(shí)測(cè)試并升級(jí)到漏洞修復(fù)的版本。官方發(fā)布的fastjson最新版本1.2.83已修復(fù)該漏洞。

官方建議：

升級(jí)到最新版本。