一、漏洞概况

Fastjson 1.2.80 反序列化漏洞情报，攻击者可以在特定条件下可绕过默认 autoType 关闭限制，从而反序列化有安全风险的类，攻击者利用该漏洞可实现在目标机器上的远程代码执行。Fastjson 是一个 Java 库，可用于将 Java 对象转换为其 JSON字符串表示形式, 还可用于将 JSON 字符串转换为等效的 Java 对象。

二、漏洞评估

公开程度：未发现在野利用
利用条件：无权限要求
交互要求：0 Click
漏洞危害：高危、任意命令执行
影响范围：Fastjson ≤ 1.2.80

三、修复方案

1、建议升级到最新版本1.2.83:
https://github.com/alibaba/fastjson/releases/tag/1.2.83

2、safeMode加固:
Fastjson 在1.2.68及之后的版本中引入了safeMode，配置 safeMode后，无论白名单和黑名单，都不支持 autoType，可杜绝反序列化 Gadgets 类变种攻击（关闭 autoType 注意评估对业务的影响）。
参考链接：https://github.com/alibaba/fastjson/wiki/security_update_20220523

3、升级至 Fastjson v2：
Fastjson v2地址：https://github.com/alibaba/fastjson2/releases