据相关监测发现，阿里巴巴公司开源Java开发组件Fastjson存在反序列化漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为，造成服务器权限被窃取、敏感信息泄漏等严重影响。此次事件影响Fastjson 1.2.80及之前所有版本。

建议各二级单位及时排查梳理受影响情况，在确保安全的前提下修复漏洞、消除隐患，加强安全监测，做好应急处置准备，提高信息系统安全防护能力，严防网络攻击事件。

漏洞详情及安全防范建议如下：

一、漏洞详情

Fastjson由阿里巴巴开发的开源JSON解析库，由JAVA语言编写。Fastjson可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点，应用范围广泛。

Fastjson已使用黑白名单用于防御反序列化漏洞，该利用在特定条件下可绕过默认autoType关闭限制，攻击远程服务器，风险影响较大。在默认配置下，当应用或系统使用Fastjson对由用户可控的JSON字符串进行解析时，将可能导致远程代码执行的危害。

二、受影响的版本

特定依赖存在下影响Fastjson≤1.2.80

三、安全防范建议

目前厂商已发布漏洞修复方案，建议相关用户尽快采取安全措施。

1. 升级到最新版本1.2.83

目前，阿里巴巴公司已发布Fastjson最新版本1.2.83以修复该漏洞，组件升级地址为：https://github.com/alibaba/fastjson/releases/tag/1.2.83。

该版本涉及autotype行为变更，在某些场景会出现不兼容的情况。

2. safeMode加固

Fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，无论白名单和黑名单，都不支持autoType（关闭 autoType需要注意评估业务影响），可杜绝反序列化Gadgets类变种攻击。

3.升级到Fastjson v2

Fastjson已经开源2.0版本，在2.0版本中，不再为了兼容提供白名单，提升了安全性。Fastjson v2代码已经重写，性能有了很大提升，不完全兼容1.x，升级需要做兼容测试。