一 漏洞概述

9月18日，有安全研究员在阿里官方GitHub上提交了针对fastjson反序列化远程命令执行漏洞新利用方式的修复代码，攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。
Fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean，由于具有执行效率高的特点，应用范围广泛。请相关用户尽快采取防护措施。

二 漏洞危害

攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。

三 影响版本

Fastjson < =1.2.60

四 复现过程

无

五 影响范围

根据 ZoomEye 网络空间搜索引擎[1]对关键字 “Fastjson” 进行搜索，共得到 54 条 IP 历史记录，主要分布在中国、美国等国家。

六 修复建议

1、官方暂未发布针对此漏洞的修复版本，受影响用户需确定当前版本为官方最新版本，且未开启autoType功能，实现对此漏洞的防护（autoType功能默认关闭）。
autoType关闭方法：
方法一：
在项目源码中全文搜索如下代码，找到并将此行代码删除：ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
方法二：
在JVM中启动项目时，不要添加如下参数：
-Dfastjson.parser.autoTypeSupport=true
2、在官方发布修复版本后，请相关用户升级至修复版本对此漏洞进行防护。

七 相关链接

ZoomEye 网络空间搜索引擎：https://www.zoomeye.org/searchResult?q=Fastjson