【威胁通告】Fastjson远程代码执行漏洞

近日，有安全人员发现Fastjson的多个版本补丁修复存在问题。攻击者仍然可以通过发送精心制造的请求包， 在使用Fastjson的服务器上远程执行代码。该问题影响Fastjson 1.2.47以及之前的版本，而且无需开启Autotype选项。

综述

近日，有安全人员发现Fastjson的多个版本补丁修复存在问题。攻击者仍然可以通过发送精心制造的请求包， 在使用Fastjson的服务器上远程执行代码。该问题影响Fastjson 1.2.47以及之前的版本，而且无需开启Autotype选项。

受影响的版本

• Fastjson <= 1.2.47

不受影响的版本

• Fastjson > 1.2.47

建议用户升级到1.2.51版本或者最新版本1.2.58

解决方案：

Fastjson官方已经发布1.2.58版本修复了上述漏洞，请受影响的用户尽快升级进行防护。

同时可以使用WAF等拦截JSON中带有 “@type”等字样及各种编码形式的请求。

参考链接：

https://github.com/alibaba/fastjson