近日，Fastjson Develop Team 发布修复了 Fastjson 1.2.80 及之前版本存在的安全风险，该安全风险可能导致反序列化漏洞。

漏洞描述

Fastjson 是阿里巴巴开源的 Java 对象和 JSON 格式字符串的快速转换的工具库。

Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞，经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制，攻击远程服务器，风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全。

CVE 编号

暂无

FOFA 查询

app="Fastjson"

影响范围

Fastjson <= 1.2.80

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="Fastjson"）共有 240,735 个相关服务对外开放。中国香港特别行政区使用数量最多，共有 119,396 个；南非第二，共有 41,358 个；中国第三，共有 22,993 个；美国第四，共有 19,646 个；德国第五，共有 5,697 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区北京使用数量最多，共有 2,433 个；广东第二，共有 2,006 个；浙江第三，共有 1,853 个；江苏第四，共有 954 个；河南第五，共有 794 个。

修复建议

参考漏洞影响范围，目前 Fastjson Develop Team 已公布漏洞修复方案，请参考以下修复建议或官方文档进行修复：https://github.com/alibaba/fastjson/wiki/security_update_20220523

升级到最新版本1.2.83

升级到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83

该版本涉及autotype行为变更，在某些场景会出现不兼容的情况，如遇遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。

safeMode 加固

Fastjson 在1.2.68及之后的版本中引入了 safeMode，配置 safeMode 后，无论白名单和黑名单，都不支持 autoType，可杜绝反序列化Gadgets类变种攻击（关闭 autoType 注意评估对业务的影响），可参考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode 查看开启方法。

升级到 Fastjson v2

Fastjson v2地址 https://github.com/alibaba/fastjson2/releases

Fastjson 已经开源2.0版本，在2.0版本中，不再为了兼容提供白名单，提升了安全性。Fastjson v2 代码已经重写，性能有了很大提升，不完全兼容1.x，升级需要做认真的兼容测试。升级遇到问题，可以在 https://github.com/alibaba/fastjson2/issues 寻求帮助。

参考

[1] https://github.com/alibaba/fastjson/wiki/security_update_20220523

白帽汇安全研究院从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。