fastjson <1.2.51版本远程代码执行漏洞预警

一、概要

近日，华为云关注到Fastjson 存在反序列化远程代码执行漏洞，可导致直接获取服务器权限，且此漏洞为 17 年 Fastjson 1.2.24 版本反序列化漏洞的延伸利用，危害严重。此漏洞影响版本 < 1.2.51，请受影响的用户尽快升级至安全版本。

官方公告：https://github.com/alibaba/fastjson/wiki/update_faq_20190722

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急。）

三、影响范围

漏洞影响的产品版本包括：fastjson < 1.2.51

安全版本为：fastjson >= 1.2.51

四、处置方案

1)方案一：升级 fastjson，升级到最新版本1.2.58，下载地址：https://github.com/alibaba/fastjson/releases/tag/1.2.58

2)方案二：移除 fastjson，如需使用 json 解析库建议使用 gson 或 jackson-databind 等组件最新版本替换。

注：修复漏洞前请将资料备份，并进行充分测试。