FastJson是阿里巴巴开源的Java对象和JSON格式字符串的快速转换的工具库

一、漏洞详情

监测到一则Fastjson Develop Team发布的安全公告，修复了一个存在于Fastjson 1.2.80 及之前版本中的反序列化漏洞。

二、影响范围

Fastjson ≤ 1.2.80

三、修复方案

1、升级到最新版本1.2.83,下载链接：

https://github.com/alibaba/fastjson/releases/tag/1.2.83

2、该版本涉及autotype行为变更，在某些场景会出现不兼容的情况，如遇遇到问题可以到:

https://github.com/alibaba/fastjson/issues

3、升级到 Fastjson v2，Fastjson v2地址：

https://github.com/alibaba/fastjson2/releases

4、Fastjson 已经开源2.0版本，在2.0版本中，不再为了兼容提供白名单，提升了安全性。Fastjson v2 代码已经重写，性能有了很大提升，不完全兼容1.x，升级需要做认真的兼容测试。升级遇到问题，可以在 

https://github.com/alibaba/fastjson2/issues 寻求帮助。