Fastjson <=1.2.68 远程代码执行漏洞预警

一、概要

近日，华为云关注到Fastjson <=1.2.68的版本中存在一处高危漏洞，可绕过autotype开关的限制，实现反序列化远程代码执行，进而获取服务器权限，风险较高。

华为云提醒使用fastjson的用户尽快安排自检并做好安全加固。

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

fastjson <= 1.2.68

四、漏洞处置

目前官方暂未发布新版本修复该漏洞，请受影响用户密切关注官方最新版本发布，并在版本发布后及时升级。

官方版本发布链接：https://github.com/alibaba/fastjson/releases

临时规避措施：

Fastjson 1.2.68版本引入了safeMode配置，用户需先升级到 Fastjson 1.2.68 版本，通过配置SafeMode 来防护攻击（配置safeMode后，无论白名单和黑名单，都不支持autoType，操作前请评估对业务影响），配置safeMode有如下三种方式：

1、 在代码中配置

ParserConfig.getGlobalInstance().setSafeMode(true);

2、 加上JVM启动参数

-Dfastjson.parser.safeMode=true

（如果有多个包名前缀，用逗号隔开）

3、 通过类路径的fastjson.properties文件配置

fastjson.parser.safeMode=true

注：修复漏洞前请将资料备份，并进行充分测试。