近日，阿里巴巴公司修复了其开发的开源Java组件Fastjson的一处反序列化远程代码执行漏洞，攻击者利用此漏洞可在目标服务器上实现任意代码执行。Fastjson组件用于Java对象和JSON格式字符串的快速转换，在Java系统中应用广泛。请各单位排查相关系统是否使用了受此漏洞影响的Fastjson组件，参考处置建议，及时修复漏洞，消除安全隐患。

影响范围：Fastjson<=1.2.80

处置建议：

1.目前阿里巴巴公司已发布Fastjson1.2.83版本修复此漏洞，可升级更新。下载地址：https:/github.com/alibaba/Fastjson/releases/tag/1.2.83。

2.也可经兼容性测试后升级至Fastjson v2版本。下载地址：https:/github.com/alibaba/fastjson2/releases。

3.如暂时不能升级的用户可参考临时缓解措施：在Fastjson1.2.68版本及之后的版本可通过开启SafeMode配置来关闭AutoType功能，防范反序列化攻击。需要注意评估关闭AutoType功能对业务的影响。

联系人：孙先杰 3380057

图文信息中心

2022年5月28日