【漏洞公告】Fastjson远程代码执行漏洞

2017年3月15日，Fastjson 官方发布安全公告，该公告介绍fastjson在1.2.24以及之前版本存在代码执行漏洞。恶意攻击者可利用此漏洞进行远程代码执行，并进一步入侵服务器。目前官方已经发布了最新版本，已经成功修复该漏洞。

漏洞详情见下文。

漏洞编号

暂无

漏洞名称

Fastjson远程代码执行漏洞

官方评级

高危

漏洞描述

Fastjson在1.2.24以及之前版本存在代码执行漏洞，当用户提交一个精心构造的恶意的序列化数据到服务器端时，Fastjson在反序列化时存在漏洞，可导致远程任意代码执行。

漏洞利用条件和方式

黑客可以远程代码执行来利用该漏洞。

漏洞影响范围

1.2.24及之前版本

漏洞检测确认

使用以下命令，检查Fastjson 版本是否在1.2.24版本内：

lsof | grep fastjson

漏洞修复建议(或缓解措施)

1. 目前，官方已经发布了最新版本，成功修复该漏洞。建议您采用以下方式将Fastjson升级到1.2.28或者更新版本：

   • 通过 Maven 依赖配置更新，升级至最新版本。

   <dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.28</version>
   </dependency>

   • 下载安装最新版本。下载地址：http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/

2. 开启云盾WAF防护。如果您无法及时升级Fastjson，您可以选用阿里云云盾WAF自动防护。

情报来源

https://github.com/alibaba/fastjson/wiki/security_update_20170315