2019 年 6 月 22 日，阿里云云盾应急响应中心监测到 FastJSON 存在 0day 漏洞，攻击者可以利用该漏洞绕过黑名单策略进行远程代码执行。

　　漏洞名称

　　FastJSON 远程代码执行 0day 漏洞

　　漏洞描述

　　利用该 0day 漏洞，恶意攻击者可以构造攻击请求绕过 FastJSON 的黑名单策略。例如，攻击者通过精心构造的请求，远程让服务端执行指定命令（以下示例中成功运行计算器程序）。

　　影响范围

• FastJSON 1.2.48 以下版本

　　官方解决方案

　　升级至 FastJSON 最新版本，建议升级至 1.2.58 版本。

　　说明 强烈建议不在本次影响范围内的低版本 FastJSON 也进行升级。

　　升级方法

　　您可以通过更新 Maven 依赖配置，升级 FastJSON 至最新版本（1.2.58 版本）。　　

<dependency> 
<groupId>com.alibaba</groupId> 
<artifactId>fastjson</artifactId>
<version>1.2.58</version>
</dependency>

　　防护建议

　　Web 应用防火墙的 Web 攻击防护规则中已默认配置相应规则防护该 FastJSON 0day 漏洞，启用 Web 应用防火墙的 Web 应用攻击防护功能即可。

　　说明 如果您的业务使用自定义规则组功能自定义所应用的防护规则，请务必在自定义规则组中添加以下规则：

　　更多信息

　　安全管家服务可以为您提供包括安全检测、安全加固、安全监控、安全应急等一系列专业的安全服务项目，帮助您更加及时、有效地应对漏洞及黑客攻击，详情请关注安全管家服务。

深蓝互联成立于2013年，是一家物联网硬件开发及软件应用服务商，获得多次获得国家高新技术企业资质的企业。深蓝互联专注软硬件技术开发的专业性技术公司。我们从事软硬件开发十年，擅长SaaS 平台开发、APP小程序开发、软硬件结合开发，在视觉识别处理、数据架构、云计算、多线程高并发和集群、数据安全加密和防护方便有很深的技术积累。

我们拥有专业优秀的设计和技术团队，以极具创意的 UI 设计、精湛卓越的开发技术，专业的网络策划团队。公司多年来投入打造物联网SaaS平台，集成了公司研发的多款智能物联网终端（智能鲜米机、生鲜售货机、自助洗车机、小区电瓶车充电系统等）。

公司一直坚持以研发为导向，打造软硬件结合的物联网平台系统。将一直坚持提高开发的技术实力更好的为我们的客户服务！

文章来自深蓝互联http://www.szdbi.com/xinwenzixun/229.html转载请注明出处！