2017年3月15日，fastjson官方发布安全公告表示fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。

注：官方表示版本大于1.2.24但是小于1.2.28的版本虽然为fastjson的过渡版本，但是不受此漏洞影响，因此不必升级。

漏洞分析

通过新老版本的代码对比，发现此漏洞出现在comalibabafastjsonparserDefaultJSONParser.java文件中的DefaultJSONParser::parseObject函数：

在1.2.24 （即受影响的版本）版本的代码中，加载类名时，用到了一个TypeUtils::loadClass的方法，此方法在comalibabafastjsonutilTypeUtils.java：

通过对代码的分析发现，该方法没有对需要加载的类做限制，而是直接加载从而导致非授权的代码执行。

而在1.2.25（非受影响的版本）版本的代码中，使用了config.checkAutoType加载相关的类，代码位于comalibabafastjsonparserParserConfig.java，方法为ParserConfig::checkAutoType；

从该方法中可以看出，不论用户是否开启了autoTypeSupport功能，在类名被加载时都需要通过额外的一层筛选（来判断是否在acceptlist里），只有满足了此限制的类名才会被加载，否则软件会直接抛出异常并且不予执行。系统中定义的禁止加载的类名内容开头。

官方解决方案

阿里官方修复建议如下：

可以用以下命令检测post内容中是否包含字符：

注：添加双引号可以减少误报。

• 命令行检测当前使用版本是否存在问题：

• 直接下载不受影响的新版本
•  

阿里官方已经发布公告，建议受影响的用户立刻升级到1.2.28/1.2.29 或更高的版本，下载地址：

http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.29/

注：香港正版挂牌安全团队建议用户升级到1.2.29版本。

升级步骤如下：

1. 首先备份原fastjson依赖库，可升级失败后随时进行还原，不对业务造成影响。
2. 然后将低版本的fastjson库替换为2.29版本即可，如下图所示：

• Maven依赖配置更新

通过maven配置更新，使用最新版本，如下所示：