阿里巴巴开源的 JSON 解析库 Fastjson 被曝高危漏洞，官方已发布安全公告

技术编辑：徐九丨发自 思否办公室

---

Fastjson 是阿里巴巴开源的一个 Java 库，可以将 Java 对象转换为 JSON 格式，当然它也可以将 JSON 字符串转换为 Java 对象。fastjson 当前版本为 1.2.68 发布于 3 月底。

近日，阿里云应急响应中心监测到 fastjson 爆发新的反序列化远程代码执行漏洞，黑客利用漏洞，可绕过 autoType 限制，直接远程执行任意命令攻击服务器，风险极大。360 安全中心将该漏洞等级定为 “高危”。

1. 漏洞描述

fastjson 采用黑白名单的方法来防御反序列化漏洞，导致当黑客不断发掘新的反序列化 Gadgets 类时，在 autoType 关闭的情况下仍然可能可以绕过黑白名单防御机制，造成远程命令执行漏洞。经研究，该漏洞利用门槛较低，可绕过 autoType 限制，风险影响较大。阿里云应急响应中心提醒 fastjson 用户尽快采取安全措施阻止漏洞攻击。

2. 影响版本

fastjson <=1.2.68

fastjson sec版本 <= sec9

android 版本不受此漏洞影响

3. 漏洞验证

使用 JNDI 配合 RMI&LDAP 二阶注入或者字节码本地注入即可。

字节码本地注入可以不受 JDK 修复限制且不受目标机器网络环境限制，此种利用方式对于攻击者更为有利。

对于该漏洞，官方建议升级到最新版本 1.2.69 或更新的 1.2.70 版本，来规避相关的风险。

---

项目地址：
https://github.com/alibaba/fa...
fastjson 官方安全公告：
https://github.com/alibaba/fa...

黑产与高危漏洞

随着网络技术不断升级，网络安全形势日益严峻。近年来，数据泄漏、网络敲诈等各类网络安全事件频发，给企业及社会发展带来严重影响。而这些在网络空间潜滋暗长的黑产，多数都与高危漏洞相关。

换句话说，利用软件和硬件中存在的漏洞，已然成为黑产攻陷各系统的主要手段。

企业管理员或者项目负责人要随时关注漏洞发现与修复公告，对于存在的漏洞应及时安装补丁进行修复，避免被利用入侵，造成损失。