Fastjson是一个非常流行的库，可以将数据在JSON和Java Object之间互相转换，应用十分广泛。

严重程度：高危

CVE编号：暂无

影响版本：≤Fastjson 1.2.47

Fastjson存在反序列化远程代码执行漏洞，当应用或系统使用Fastjson对由用户可控的JSON字符串数据进行解析时，允许远程代码执行。

此漏洞为2017年Fastjson 1.2.24版本反序列化漏洞的延伸利用，一旦遭到利用，危害巨大。

此漏洞为2017年Fastjson1.2.24版本反序列化漏洞的延伸利用，且无需依赖autotype的开启。这也就意味着，处于默认配置下的Fastjson都会受到此漏洞的影响。

恶意攻击者可以通过构造攻击请求来绕过Fastjson的黑名单策略。

可以通过更新Maven依赖配置，升级Fastjson至最新版本(1.2.58版本)：

<dependency>

 <groupId>com.alibaba</groupId>

 <artifactId>fastjson</artifactId>

 <version>1.2.58</version>

</dependency>