fastjson 當(dāng)前版本為1.2.68發(fā)布于 3 月底，日前某安全運(yùn)營中心監(jiān)測到，fastjson <= 1.2.68 版本存在遠(yuǎn)程代碼執(zhí)行漏洞，漏洞被利用可直接獲取服務(wù)器權(quán)限。360CERT將漏洞等級定為“高危”。

該遠(yuǎn)程代碼執(zhí)行漏洞原理是，autotype 開關(guān)的限制可以被繞過，鏈?zhǔn)椒葱蛄谢粽呖梢酝ㄟ^精心構(gòu)造反序列化利用鏈，最終達(dá)成遠(yuǎn)程命令執(zhí)行。此漏洞本身無法繞過 fastjson 的黑名單限制，需要配合不在黑名單中的反序列化利用鏈才能完成完整的漏洞利用。

目前 fastjson 官方還未發(fā)布修復(fù)版本，使用者可以升級到fastjson 1.2.68 版本，并通過配置 ParserConfig.getGlobalInstance().setSafeMode(true)參數(shù)開啟 SafeMode 防護(hù)攻擊，不過需要注意的是safeMode 會完全禁用 autotype，無視白名單，需要評估對業(yè)務(wù)影響的。

詳情可以查看：

• https://cloud.tencent.com/announce/detail/1112

• https://www.anquanke.com/post/id/207029

總結(jié)

以上是生活随笔為你收集整理的Java 库 fastjson 被曝存“高危”远程代码执行漏洞的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。