Fastjson低版本漏洞

引言：

2022年5月23日，fastjson 官方发布安全通报，fastjson <= 1.2.80 存在反序列化任意代码执行漏洞，在特定条件下可绕过默认autoType关闭限制，可能会导致远程服务器被攻击，风险影响较大。

漏洞评级：严重

影响组件：com.alibaba:fastjson

影响版本：<= 1.2.80

解决方案

方案1：升级到最新版本1.2.83

注意，该版本涉及autotype行为变更，在某些场景会出现不兼容弄的情况。

下载地址：

https://github.com/alibaba/fastjson/releases/tag/1.2.83

方案2：safeMode加固

fastjson在1.2.68级之后的版本中引入了safeMode，配置safeMode后，无论白名单和黑名单，都不支持autoType，可杜绝反序列化Gadgets类变种攻击（关闭autoType注意评估对业务的影响）。

开启方法：

式参考官方说明：https://github.com/alibaba/fastjson/wiki/fastjson_safemode

1.2.83修复了此次发现的漏洞，开启safeMode是完全关闭autoType功能，避免类似问题再次发生，这可能会有兼容问题，请充分评估对业务影响后开启。

方案3：升级到fastjson v2

fastjson已经开源2.0版本，在2.0版本中，不再为了兼容提供白名单，提升了安全性。fastjson v2代码已经重写，性能有了很大提升，不完全兼容1.x，升级需要做认真的兼容测试。

下载地址：https://github.com/alibaba/fastjson2/releases