近日，有安全人員發(fā)現(xiàn)Fastjson的多個版本補丁修復存在問題。攻擊者仍然可以通過發(fā)送精心制造的請求包， 在使用Fastjson的服務器上遠程執(zhí)行代碼。該問題影響Fastjson 1.2.47以及之前的版本，而且無需開啟Autotype選項。

綜述

近日，有安全人員發(fā)現(xiàn)Fastjson的多個版本補丁修復存在問題。攻擊者仍然可以通過發(fā)送精心制造的請求包， 在使用Fastjson的服務器上遠程執(zhí)行代碼。該問題影響Fastjson 1.2.47以及之前的版本，而且無需開啟Autotype選項。

受影響的版本

• Fastjson <= 1.2.47

不受影響的版本

• Fastjson > 1.2.47

建議用戶升級到1.2.51版本或者最新版本1.2.58

解決方案：

Fastjson官方已經(jīng)發(fā)布1.2.58版本修復了上述漏洞，請受影響的用戶盡快升級進行防護。

同時可以使用WAF等攔截JSON中帶有 “@type”等字樣及各種編碼形式的請求。

參考鏈接：

https://github.com/alibaba/fastjson