【笔记】fastjson低版本高危漏洞预警

安全漏洞笔记-Fastjson高危漏洞预警

1. 影响
   Fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险
   漏洞影响版本: Fastjson ≤ 1.2.80

2. 人工检测方法：
   • Maven：排查pom.xml，通过搜索Fastjson确定版本号
   • 其他项目通过搜索jar文件确定Fastjson版本号：lsof | grep fastjson

目前官方已在最新版本1.2.83中修复了该漏洞，请受影响的用户尽快升级版本进行防护，官方下载链接：https://github.com/alibaba/fastjson/releases

*****升级步骤如下：

1. 备份原fastjson依赖库，避免升级失败的情况发生。
2. 将低版本的fastjson库替换为2.83版本即可

开发人员可通过配置Maven的方式对应用进行升级并编译发布，配置如下:

com.alibaba
fastjson
1.2.83

注：该版本涉及autotype行为变更，在某些场景会出现不兼容的情况，若遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。