一、概要

政务云关注到Fastjson披露存在一处新的反序列化远程代码执行漏洞，漏洞影响所有1.2.80及以下版本，成功利用漏洞可绕过autoType限制，实现远程任意执行代码。。

参考链接：

https://github.com/alibaba/fastjson/wiki/security_update_20220523

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、 影响范围

受影响版本：

Fastjson =< 1.2.80（需要特定依赖存在）

安全版本：

Fastjson 1.2.83（某些场景会出现不兼容情况，升级前需做兼容性测试，评估对业务的影响）

Fastjson V2系列版本（不完全兼容1.x，升级前需做全面的兼容测试）

四、安全建议

注：修复漏洞前请将资料和数据进行备份，并与客户应用供应商和维护方确认并进行充分测试。

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，参考官方升级说明，酌情升级至安全版本，或升级到fastjson v2（不完全兼容1.x）参考链接：https://github.com/alibaba/fastjson/wiki/security_update_20220523

缓解措施：

Fastjson在1.2.68及之后的版本中引入了safeMode 安全模式，配置safeMode后，将禁用autoType的使用，可杜绝反序列化Gadgets类变种攻击，但关闭autoType需要评估对业务的影响

配置参考链接：https://github.com/alibaba/fastjson/wiki/fastjson_safemode