【漏洞详情】

fastjson采用黑名单机制防御反序列化漏洞，近日，平安金融云安全监控到fastjson官方披露fastjson < 1.2.66版本存在最新反序列化远程代码执行漏洞攻击Gadgets，当打开autotype场景下，利用该最新的Gadgets，攻击者可绕过黑名单防御机制，实现反序列化漏洞攻击，远程执行任意命令，并获取服务器权限。

【风险评级】

高危

【影响范围】

fastjson < 1.2.66且未关闭autotype。

fastjson自1.2.5X版本以上默认关闭autotype，默认配置不受漏洞影响。

【修复建议】

建议受影响用户综合评估漏洞风险和业务影响，可参考如下方案加固修复，避免安全风险：

方案1，升级至安全版本，参考下载链接：http://repo1.maven.org/maven2/com/alibaba/fastjson/；

方案2，如无业务需要，关闭autotype。

【参考链接】

https://github.com/alibaba/fastjson/releases/tag/1.2.66

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安金融云

2020年3月2日