fastJson≤1.2.80漏洞修复_fastjson漏洞修复

一、fastjson安全漏洞

【漏洞概况】

在 Fastjson 1.2.80 及以下版本中存在反序列化漏洞，攻击者可以在特定依赖下利用此漏洞绕过默认autoType关闭限制，从而反序列化有安全风险的类，在特定条件下这可能导致远程代码执行。

【漏洞危害】

高危、任意命令执行。

【影响范围】

Fastjson ≤1.2.80

二、修复方案

以下三种修复方案根据业务选择任一合适方案即可:

方案一、建议升级到最新版本1.2.83。

参考链接：https://github.com/alibaba/fastjson/releases/tag/1.2.83

方案二、safeMode加固：Fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，无论白名单和黑名单，都不支持 autoType，可杜绝反序列化Gadgets类变种攻击（关闭 autoType 注意评估对业务的影响）。

参考链接：https://github.com/alibaba/fastjson/wiki/security_update_20220523

方案三、升级至Fastjson v2。

Fastjson v2地址：https://github.com/alibaba/fastjson2/releases