一、概要

近日，华为云安全团队关注到业界爆出Fastjson远程代码执行漏洞新的利用方式， FastJson < 1.2.61的版本均受影响，攻击者可通过精心构造的请求包对使用Fastjson的服务器发起请求，获取目标服务器的权限，从而实现未经授权的远程代码执行。

参考链接：

https://github.com/alibaba/fastjson/releases

https://github.com/alibaba/fastjson/commit/05a7aa7f748115018747f7676fd2aefdc545d17a

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、影响范围

漏洞影响的产品版本包括：

Fastjson < 1.2.61

安全版本为：

FastJson 1.2.61

四、处置方案

目前官方已发布最新的1.2.61版本修复了此漏洞，请受影响的用户升级至安全版本。

下载地址： http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.61/

漏洞的利用前提是开启了autoType功能（默认是关闭状态），若用户开启了autoType功能，可通过关闭该功能进行临时规避，具体操作请参考以下两种方法：

1、 在项目源码中找到以下行代码并将其删除。

ParserConfig.getGlobalInstance().setAutoTypeSupport(true);

2、 在JVM中启动项目时，命令行中不添加autoType参数。

-Dfastjson.parser.autoTypeSupport=true

注：修复漏洞前请将资料备份，并进行充分测试。