Fastjson 1.2.80 及之前版本存在 Throwable 反序列化漏洞

遵纪守法
任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益

漏洞描述
Fastjson 是阿里巴巴开源的 Java 对象和 JSON 格式字符串的快速转换的工具库。Fastjson Develop Team 发布修复了 Fastjson 1.2.80 及之前版本存在的安全风险，该安全风险可能导致反序列化漏洞。

资产确定
app="Fastjson"
影响范围
Fastjson <= 1.2.80
漏洞复现
目前暂未公开exp

修复建议
官方修复方案
https://github.com/alibaba/fastjson/wiki/security_update_20220523

升级版本
升级到最新版本1.2.83

https://github.com/alibaba/fastjson/releases/tag/1.2.83

safeMode 加固
Fastjson 在1.2.68及之后的版本中引入了 safeMode，配置 safeMode 后，无论白名单和黑名单，都不支持 autoType，可杜绝反序列化Gadgets类变种攻击（关闭 autoType 注意评估对业务的影响）

参考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode

升级到 Fastjson v2
Fastjson v2地址 https://github.com/alibaba/fastjson2/releases

参考链接
https://github.com/alibaba/fastjson/wiki/security_update_20220523 https://github.com/alibaba/fastjson/releases/tag/1.2.83