漏洞介绍

开源组件Fastjson存在远程代码执行漏洞，此漏洞为2017年Fastjson 1.2.24版本反序列化漏洞的延伸利用，可直接获取服务器权限，危害严重。

影响的版本范围

漏洞影响的产品版本包括：Fastjson 1.2.51以下的版本，不包括Fastjson 1.2.51版本。

安全版本

Fastjson 1.2.51版本及以上的版本。

官方解决方案

建议用户将开源组件Fastjson升级到1.2.51版本或者最新的1.2.58版本。

防护建议

Web应用防火墙内置的防护规则支持对该漏洞的防护，参照以下步骤进行防护：

步骤 1 申请WAF独享引擎。

步骤 2 将网站域名添加到WAF中并完成域名接入，详细操作请参见网站接入域名。

步骤 3 将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。