最新 || fastjson 远程代码执行漏洞修复方案

一、漏洞概述

5 月 23 日， 官方发布公告称在 1.2.80 及以下版本中存在新的反序列化风险，在特定条件下可绕过默认 autoType 关闭限制，从而反序列化有安全风险的类，攻击者利用该漏洞可实现在目标机器上的远程代码执行。

spring cloud alibaba sentinel 中依赖 fastjson 传递依赖引入，请相关用户尽快采取防护措施。

二、影响范围

受影响版本

• Fastjson ≤ 1.2.80

不受影响版本

• Fastjson = 1.2.83

三、修复方案

① 开源版本

② 商业版本

四、修复确认