Fastjson 反序列化任意代码执行漏洞修复_fastjson有漏洞 升级到2.0

腾讯云主机安全扫描报告，有几台主机存在“Fastjson 反序列化任意代码执行漏洞”。

安全报告漏洞信息如下：

CVE编号
pcmgr-345005
披露时间
2022-05-23
漏洞描述
Fastjson是一个Java语言编写的高性能功能完善的JSON库。由于其简单易用，已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。
Fastjson Develop Team 于2022年5月23日披露 fastjson 1.2.80及以下版本存在新的反序列化漏洞风险，该利用在特定条件下可绕过默认autoType关闭限制，导致任意代码执行，攻击远程服务器，风险影响较大，建议fastjson用户尽快采取安全措施保障系统安全。

检查服务器Fastjson版本为1.2.83.高于漏洞描述版本。

根据漏洞修复解决方案，有2种方式解决。

方法1：升级到fastjson v2。在2.0版本中，不再为了兼容提供白名单，提升了安全性。fastjson v2代码已经重写，性能有了很大提升，不完全兼容1.x。因此需要做好兼容