FastJson存在漏洞，该漏洞影响Fastjson 1.2.60之前所有版本

接到总行通知，FastJson被发现存在远程拒绝服务漏洞，攻击者即可通过精心构造的请求包对使用Fastjson的服务器造成远程拒绝服务攻击，可导致服务器宕机，目前确认该利用方式影响FastJson <1.2.60 版本。

据悉该漏洞已在2019年9月完成修复，漏洞利用方式已于2019年9月5日开始被公开。由于目前该漏洞的风险等级被定义为“高危”，所以总行给了修复建议：

要求受影响版本升级Fastjosn到1.2.60版本，最新版本（1.2.60）的下载链接如下：
http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.60/

找了下资料，造成此漏洞的原因如下：

1.Fastjson在处理\x转义字符（十六进制数）时没有对转义字符后的字符进行有效性校验

2.错误的EOF判断逻辑导致字符串读取到结尾时没有跳出循环

详情可以参照：https://mp.weixin.qq.com/s/PvcDOeGqDB875JJYaHUJTw