FastJson 是一款广泛使用的开源的高性能 JSON 解析库，它可以解析 JSON 格式的字 符串，支持将 JavaBean 序列化为 JSON 字符串，也可以从 JSON 字符串反序列化到 JavaBean。

漏洞详情

近日，FastJson 官方发布了 1.2.83 版本，修复了一个反序列化远程代码执行漏洞。

Fastjson 基于黑白名单对反序列化漏洞进行防御，但在 FastJson 1.2.80及之前的版本中，这些防御机制可被绕过。从而使得默认配置下，当应用或系统使用 Fastjson 对由用户可控的 JSON 字符串进行解析时，将可能导致远程代码执行的危害。

影响范围

FastJson 版本 <= 1.2.80

修复建议

目前此漏洞已经修复，及时升级更新到 FastJson 版本 1.2.83。