### 漏洞描述
Fastjson 存在反序列化远程代码执行漏洞,当应用或系统使用 Fastjson 对由用户可控的 JSON 字符串数据进行解析时,将可能导致远程代码执行的危害。
此漏洞为 17 年 Fastjson 1.2.24 版本反序列化漏洞的延伸利用,且无需依赖 autotype 的开启,这意味着默认配置下的 Fastjson 即会受到漏洞影响。
### 影响范围
目前暂时确认此漏洞能有效利用的版本范围为 Fastjson 1.2.47 及之前的版本。
### 解决方案
由于 1.2.47 之后发布的版本也包括安全更新,暂不确定这些安全更新的相关细节,因此保险起见,建议更新 Fastjson 到当前最新版本 1.2.58。
暂无评论