Fastjson是阿里巴巴的开源JSON解析库,前几天其开发团队Fastjson Develop Team 发现 fastjson 1.2.80及以下存在新的风险,fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全。
修复方法如下:
[mark_a]
1、升级到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83
2、safeMode加固 https://github.com/alibaba/fastjson/wiki/fastjson_safemode
3、升级到fastjson v2 https://github.com/alibaba/fastjson2/releases
[/mark_a]
更详细的修复方法请访问官方地址:
https://github.com/alibaba/fastjson/wiki/security_update_20220523