Fastjson是一个阿里巴巴开源Java库，可用于实现Java对象与JSON字符串之间的相互转换。作为最快速的JSON库，Fastjson拥有大量的用户。

近期，有 Fastjson远程代码执行漏洞曝出，在JSON字符串转换为等效的Java对象时漏洞触发。该漏洞无需开启AutoType即可利用成功，并且利用JNDI就可以形成完整的利用链，危害巨大。

默安科技的哨兵云资产风险监控系统目前已支持Fastjson 远程代码执行漏洞的检测。如果您的企业存在相关风险，可以联系我们辅助检测是否受到此类漏洞影响，以免被攻击者恶意利用，造成品牌和经济损失。

01 漏洞描述

Fastjson是Java中性能优良的将字符串转化为JSON对象第三方库，在企业应用中大量使用。Fastjson库中的 JSON.parse 用法在渲染JSON字符串过程中导致产生代码执行，攻击者可以通过JNDI（RMI服务等）和其它远程服务器配合，实现代码执行，直接导致业务机器被远程控制、内网渗透、窃取敏感信息等操作。

02 受影响的版本

Fastjson <= 1.2.47

03 漏洞检测

对于该漏洞，目前默安科技的哨兵云资产风险监控系统已支持通过安装相关应急插件进行检测，如下图所示。

04 漏洞修复(临时处置方法)

• 升级 Fastjson 到 1.2.48 及以上版本

参考链接：

https://mp.weixin.qq.com/s/N8PpN8Cp6gpVNl9xWEVVcg