fastjson 當前版本為1.2.68發布于 3 月底，日前某安全運營中心監測到，fastjson <= 1.2.68 版本存在遠程代碼執行漏洞，漏洞被利用可直接獲取服務器權限。360CERT將漏洞等級定為“高危”。

該遠程代碼執行漏洞原理是，autotype 開關的限制可以被繞過，鏈式反序列化攻擊者可以通過精心構造反序列化利用鏈，最終達成遠程命令執行。此漏洞本身無法繞過 fastjson 的黑名單限制，需要配合不在黑名單中的反序列化利用鏈才能完成完整的漏洞利用。

目前 fastjson 官方還未發布修復版本，使用者可以升級到fastjson 1.2.68 版本，并通過配置 ParserConfig.getGlobalInstance().setSafeMode(true)參數開啟 SafeMode 防護攻擊，不過需要注意的是safeMode 會完全禁用 autotype，無視白名單，需要評估對業務影響的。

詳情可以查看：

https://cloud.tencent.com/announce/detail/1112

https://www.anquanke.com/post/id/207029