1、漏洞概述

近日，Fastjson Develop Team发布安全公告，修复了一个存在于Fastjson1.2.80及之前版本中的反序列化漏洞。

Fastjson是一个由JAVA语言编写的高性能JSON库，它采用名为“假定有序快速匹配”的算法将JSON Parse的性能提升到极致。由于Fastjson接口简单易用，目前已被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景中。

由于Fastjson基于autoType黑白名单对反序列化漏洞进行防御的安全机制存在缺陷，成功利用该缺陷可绕过autoType的防御机制，从而导致Fastjson将存在风险的类进行反序列化处理，以达到执行远程代码的目的。

2、受影响的版本

特定依赖存在下影响 ≤1.2.80

3、漏洞等级

风险评级：高危！

4、修复建议

1. 升级到新版本1.2.83，下载地址：

https://Github.com/alibaba/fastjson/releases/tag/1.2.83

该版本涉及autotype行为变更，在某些场景会出现不兼容的情况，如遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。）

5.开源字节低代码平台会受影响吗？该如何处理？

答：会的。因为我们也在使用Fastjson，且版本号是<fastjson.version>1.2.79</fastjson.version>，我们已经升级到最新版1.2.83，fork代码的同学可以pull最新的代码。或者手动修改一下父工程中的版本号，如下图所示：

如若转载，请注明出处：开源字节
https://sourcebyte.cn/article/140.html