一、概要

近日，華為云關(guān)注到fastjson官方Git發(fā)布新版本公告，披露了在fastjson < 1.2.66版本中存在新的反序列化遠程代碼執(zhí)行漏洞，攻擊者利用新的Gadgets，可實現(xiàn)遠程代碼執(zhí)行漏洞。

華為云提醒使用fastjson的用戶及時安排自檢并做好安全加固。

參考鏈接：

https://github.com/alibaba/fastjson/releases/tag/1.2.66

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急） 

三、漏洞影響范圍

影響版本：

fastjson < 1.2.66

安全版本:

fastjson 1.2.66

四、漏洞處置

目前官方已在最新版本中修復了該漏洞，請受影響的用戶升級至安全版本。

下載地址：https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.66/

漏洞的利用前提是開啟了autoType功能（在1.2.5x版本以上autoType默認是關(guān)閉狀態(tài)），若用戶開啟了autoType功能，可通過關(guān)閉該功能進行臨時規(guī)避，具體操作請參考以下兩種方法：

1、 在項目源碼中找到以下行代碼并將其刪除。

ParserConfig.getGlobalInstance().setAutoTypeSupport(true);

2、 在JVM中啟動項目時，命令行中不添加autoType參數(shù)。

-Dfastjson.parser.autoTypeSupport=true

注：修復漏洞前請將資料備份，并進行充分測試。