近日，Fastjson官方发布了1.2.67版本，修复了之前旧版本存在的autoType黑名单类绕过漏洞，可导致远程攻击者进行RCE攻击。在不久之前，同类产品Fasterxml jackson-databind就曝出过多个黑名单类绕过漏洞，由于在打开AutoType的场景下使用了相同的防御机制（黑名单类），Fastjson也不可避免地受到影响。

Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种“假定有序快速匹配”的算法，把JSON Parse的性能提升到极致，是目前Java语言中最快的JSON库。Fastjson接口简单易用，已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。 ——ctolib

危害等级

高危

漏洞原理

在Fastjson打开AutoType的场景下（默认情况下不会打开，是基于白名单的防御机制），存在黑名单类被绕过的漏洞，从而使攻击者有可能发起反序列化攻击，实现远程代码执行。

在1.2.66版本中：

在最新的1.2.67版本中：

漏洞影响

fastjson =< 1.2.66

CVE编号

暂无

修复建议

目前官方已发表修复补丁，可进入

https://github.com/alibaba/fastjson/releases

页面下载最新版本。

参考

[1] https://mp.weixin.qq.com/s/tmycVNWUXsPc7S-wkT5TrA

[2] http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202003-1151

[3] https://www.ctolib.com/docs-FastJson-c-index.html

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。