1. 通告信息

近日，监测到一则 Fastjson 组件存在autoType 默认关闭限制被绕过的漏洞信息，漏洞威胁等级：高危。该漏洞需要存在特定依赖才可能利用成功。

对此，安识科技建议广大用户及时升级到安全版本，并做好资产自查以及预防工作，以免遭受黑客攻击。

2. 漏洞概述

CVE：暂无

简述：Fastjson 是阿里巴巴的开源 JSON 解析库，它可以解析JSON 格式的字符串，支持将 Java Bean 序列化为 JSON字符串，也可以从 JSON 字符串反序列化到 JavaBean。Fastjson在特定依赖下，存在autoType 默认关闭限制被绕过。

3. 漏洞危害

攻击者可利用该漏洞在未授权的情况下，绕过autoType 默认关闭限制，进而构造恶意数据执行远程代码执行攻击，最终获取服务器最高权限。

4. 影响版本

目前受影响的 Fastjson 版本：

Fastjson ≤ 1.2.80

5. 解决方案

5.1官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://github.com/alibaba/fastjson/releases

5.2临时修复建议

safeMode 加固

fastjson 在 1.2.68 及之后的版本中引入了 safeMode，配置 safeMode 后，无论白名单和黑名单，都不支持 autoType，可杜绝反序列化 Gadgets 类变种攻击（关闭 autoType 注意评估对业务的影响）。

开启方法参考官方文档：

https://github.com/alibaba/fastjson/wiki/fastjson_safemode