发布日期：2020-05-28
更新日期：2020-05-29

受影响系统：

fastjson fastjson <= 1.2.68

描述：

---

Fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean 。

Fastjson <=1.2.68版本存在远程代码执行漏洞，攻击者可绕过autotype限制，但必须利用不在黑名单中的gadgets，实际造成的危害与利用的gadgets有关，成功利用此漏洞可能直接获取服务器权限，远程执行代码。

<*来源：Tencent
  *>

建议：

---

厂商补丁：

fastjson
--------
Fastjson 1.2.69版本暂未发布，可先采取以下缓解措施规避风险，并持续关注官方新版本发布信息。
建议升级至 Fastjson 1.2.68 版本，该版本中引入一个safeMode的配置，配置safeMode后，无论白名单和黑名单，都不支持autoType。
有三种方式配置SafeMode：
1.在代码中配置
ParserConfig.getGlobalInstance().setSafeMode(true);
2.加上JVM启动参数
-Dfastjson.parser.safeMode=true
如果有多个包名前缀，用逗号隔开。
3.通过类路径的fastjson.properties文件配置
fastjson.parser.safeMode=true
配置参考链接：
https://github.com/alibaba/fastjson/wiki/fastjson_safemode
官方下载：
https://github.com/alibaba/fastjson/releases

浏览次数：1728
严重程度：0（网友投票）