一、概要

近日，我们关注到Fastjson <= 1.2.80的版本中存在新的Gadgets可造成反序列化远程代码执行漏洞，在特定条件下可绕过默认autoType关闭限制，实现反序列化远程代码执行，进而攻击目标服务器，风险较高。

我们提醒使用fastjson的用户尽快安排自检并做好安全加固。

参考链接：https://github.com/alibaba/fastjson/wiki/security_update_20220523

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

受影响版本：Fastjson ＜= 1.2.80

安全版本：Fastjson 1.2.83

四、漏洞处置

漏洞的利用前提是开启了autoType功能，若用户使用到了受影响版本且开启了autotype，则受影响。 目前官方已在最新版本中更新了autotype安全黑名单修复了该漏洞，请受影响的用户尽快升级至安全版本。

下载地址：https://github.com/alibaba/fastjson/releases/tag/1.2.83

若无法及时升级，可参考官方公告中提供的规避措施进行风险规避：

1. Fastjson 1.2.68版本引入了safeMode配置，用户需先升级到Fastjson 1.2.68 版本，通过开启SafeMode 来防护攻击（开启safeMode后，无论白名单和黑名单，都不支持autoType，操作前请评估对业务影响）。开启方法参考：https://github.com/alibaba/fastjson/wiki/fastjson_safemode

2. 升级到fastjson v2，fastjson已经开源2.0版本，在2.0版本中，不再为了兼容提供白名单，提升了安全性。fastjson v2代码已经重写，性能有了很大提升，不完全兼容1.x，升级需要做认真的兼容测试。

注意：修复漏洞前请将资料备份，并进行充分测试。