一、概要

近日，華為云關(guān)注到Fastjson <=1.2.68的版本中存在一處高危漏洞，可繞過autotype開關(guān)的限制，實現(xiàn)反序列化遠程代碼執(zhí)行，進而獲取服務(wù)器權(quán)限，風(fēng)險較高。

華為云提醒使用fastjson的用戶盡快安排自檢并做好安全加固。

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急）

三、漏洞影響范圍

影響版本：

fastjson <= 1.2.68

安全版本：

fastjson > 1.2.68

四、漏洞處置

目前官方已在最新版本中修復(fù)了該漏洞，請受影響的用戶盡快升級至安全版本。

下載地址：https://github.com/alibaba/fastjson/releases

臨時規(guī)避措施：

Fastjson 1.2.68版本引入了safeMode配置，用戶需先升級到 Fastjson 1.2.68 版本，通過配置SafeMode 來防護攻擊（配置safeMode后，無論白名單和黑名單，都不支持autoType，操作前請評估對業(yè)務(wù)影響），配置safeMode有如下三種方式：

1、 在代碼中配置

ParserConfig.getGlobalInstance().setSafeMode(true);

2、 加上JVM啟動參數(shù)

-Dfastjson.parser.safeMode=true

（如果有多個包名前綴，用逗號隔開）

3、 通過類路徑的fastjson.properties文件配置

fastjson.parser.safeMode=true

目前，華為云WAF已具備對該漏洞攻擊的防御能力，華為云WAF用戶將Web基礎(chǔ)防護的狀態(tài)設(shè)置為“攔截”模式即可，具體方法請參見 配置Web基礎(chǔ)防護規(guī)則。

注：修復(fù)漏洞前請將資料備份，并進行充分測試。