近日，Fastjson官方发布公告称Fastjson 1.2.80及以下版本存在新的风险。北冥数据实验室第一时间对安全公告进行分析研判，结合盘古平台（THPangu-OS）的底座能力，为用户提供应急处置指引方案。

漏洞概述

1、基本描述

据官方发布公告称，Fastjson已使用黑白名单用于防御反序列化漏洞，经研究，该漏洞在特定条件下可绕过默认autoType关闭限制，攻击远程服务器，风险影响较大，建议Fastjson用户尽快采取安全措施保障系统安全。

2、漏洞影响

受影响的产品及版本：

特定依赖存在下影响 Fastjson ≤1.2.80

漏洞检测

网御星云漏洞扫描系统V6.0已紧急发布针对该漏洞的升级包，支持对该漏洞进行授权扫描，用户升级标准漏洞库后即可对该漏洞进行扫描：

6070版本升级包为607000436，升级包下载地址：

https://leadsec.download.venuscloud.cn/

图1 升级后已支持该漏洞

请使用网御星云漏洞扫描系统的用户尽快升级到最新版本，及时对该漏洞进行检测，以便尽快采取防范措施。

修复建议

目前Fastjson已发布相关安全更新，建议受影响的用户及时更新到 Fastjson 版本 1.2.83。

下载链接：

https://github.com/alibaba/fastjson/releases/tag/1.2.83

注意该版本涉及autotype行为变更，在某些场景会出现不兼容的情况,若遇到问题可以到 

https://github.com/alibaba/fastjson/issues 寻求帮助。

临时措施

Fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，无论白名单和黑名单，都不支持autoType，虽可杜绝反序列化Gadgets类变种攻击,但仍需注意关闭autoType后对业务的影响。三种配置SafeMode的方式如下：

1）在代码中配置：

ParserConfig.getGlobalInstance().setSafeMode(true);

2）加上JVM启动参数：

-Dfastjson.parser.safeMode=true

如果有多个包名前缀，可用逗号隔开。

3）通过Fastjson.properties文件配置：

通过类路径的Fastjson.properties文件来配置，配置方式如下：

Fastjson.parser.safeMode=true

参考官方文档：

https://github.com/alibaba/fastjson/wiki/fastjson_safemode

北冥数据实验室

北冥数据实验室成立于2022年3月，是致力于网络空间安全知识工程研究和体系化建设的专业团队，由网御星云漏洞研究团队、泰合知识工程团队、大数据实验室（BDlab）场景化分析团队联合组成。

北冥数据实验室始终秉持以需求为导向、知识赋能产品的核心理念，专注于提供网络空间安全的基础知识研究和开发，制定结合威胁和漏洞情报、网络空间资产和云安全监测数据等综合情报以及用户实际场景的安全分析防护策略，构建自动化调查和处置响应措施，形成场景化、结构化的知识工程体系，对各类安全产品、平台和安全运营提供知识赋能。