[2022 年 第 02号]

近日，发现阿里巴巴公司开源Java 开发组件 Fastjson 存在远程代码执行漏洞。攻击者利用上述漏洞可远程执行任意代码。目前官方已发布安全版本，信息化中心建议受影响单位和用户立即升级至安全版本。

一、漏洞描述

Fastjson 是阿里巴巴开源的 Java 对象和 JSON 格式字符串的快速转换的工具库。它可以解析 JSON 格式的字符串，支持将 Java Bean 序列化为 JSON 字符串，也可以从 JSON 字符串反序列化到JavaBean。相关 Fastjson 版本存在远程代码执行漏洞，攻击者可以在特定依赖下利用此漏洞绕过默认 autoType 关闭限制，从而反序列化有关安全风险的类。在特定条件下可能导致远程代码执行。

二、影响范围

受影响的产品及版本：

特定依赖存在下影响Fastjson ≤1.2.80

三、安全防范建议

1.关注官方的更新公告，对受影响的版本及时升级至最新版本1.2.83。

2.配置safeMode

Fastjson 在1.2.68 及之后的版本中引入了safeMode，配置safeMode 后，无论白名单和黑名单，都不支持autoType，可杜绝此类反序列化漏洞攻击（关闭autoType 注意评估对业务的影响）。1.2.68 及之后版本的用户若无法通过版本升级来修复漏洞，可考虑配置开启safeMode。

具体配置方法可参考：

https://github.com/alibaba/fastjson/wiki/fastjson_safemode

信息化中心提醒各相关单位要强化风险意识，切实加强安全防范。请各单位迅速排查是否存在该漏洞，并立即采取上述修复建议，堵塞漏洞。务必提高警惕，做好风险防范，避免因漏洞引起相关的网络安全事件。

若有疑问请联系信息化中心。