一、概要

近日，华为云关注到Fastjson <=1.2.68的版本中存在一处高危漏洞，可绕过autotype开关的限制，实现反序列化远程代码执行，进而获取服务器权限，风险较高。

华为云提醒使用fastjson的用户尽快安排自检并做好安全加固。

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

fastjson <= 1.2.68

安全版本：

fastjson > 1.2.68

四、漏洞处置

目前官方已在最新版本中修复了该漏洞，请受影响的用户尽快升级至安全版本。

下载地址：https://github.com/alibaba/fastjson/releases

临时规避措施：

Fastjson 1.2.68版本引入了safeMode配置，用户需先升级到 Fastjson 1.2.68 版本，通过配置SafeMode 来防护攻击（配置safeMode后，无论白名单和黑名单，都不支持autoType，操作前请评估对业务影响），配置safeMode有如下三种方式：

1、 在代码中配置

ParserConfig.getGlobalInstance().setSafeMode(true);

2、 加上JVM启动参数

-Dfastjson.parser.safeMode=true

（如果有多个包名前缀，用逗号隔开）

3、 通过类路径的fastjson.properties文件配置

fastjson.parser.safeMode=true

目前，华为云WAF已具备对该漏洞攻击的防御能力，华为云WAF用户将Web基础防护的状态设置为“拦截”模式即可，具体方法请参见 配置Web基础防护规则。

注：修复漏洞前请将资料备份，并进行充分测试。