【漏洞简介】

近日， fastjson出现高危远程代码执行漏洞，该漏洞是fastjson于2017年3月爆出的远程代码执行漏洞（CNVD-2017-02833）新的绕过利用方式，攻击者可以通过此漏洞绕过黑名单策略执行远程代码，从而入侵服务器。目前PoC已公开，官方已经发布了最新版本，建议尽快更新修复该漏洞。

【fastjson介绍】
fastjson 是由阿里巴巴公司开发，基于Java 语言实现的 JSON 解析器和生成器。fastjson可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。

【风险评级】高危

【影响范围】fastjson 1.2.48以下版本

【漏洞分析】
2017年3月，fastjson 1.2.24以下版本被爆出存在远程代码执行漏洞（CNVD-2017-02833），当用户提交一个精心构造的恶意的序列化数据到服务器端时，fastjson在反序列化时存在漏洞，可导致远程任意代码执行。

fastjson官方在1.2.25版本中通过新增黑名单类阻止漏洞利用代码触发,本次新爆出的POC是该漏洞的一种绕过黑名单策略的新利用方式。

【修复建议】

1.  升级至FastJSON最新版本（1.2.58）。建议参考阿里官方公告。

https://helpcdn.aliyun.com/document_detail/123431.html
2. 腾讯御界高级威胁检测系统已支持检测此类攻击