各部门：

近期收到国家计算机网络应急技术处理协调中心云南分中心《关于Fastjson反序列化远程代码执行漏洞的风险提示》（详细内容见附件），攻击者利用此漏洞可在目标服务器上实现任意代码执行。Fastjson组件用于Java对象和JSON格式字符串的快速转换，在Java系统中应用广泛。请各单位与系统软件提供商联系提供相关技术支持，排查相关系统是否使用了受此漏洞影响的Fastjson组件，及时修复漏洞，消除安全隐患。

附件：关于Fastjson反序列化远程代码执行漏洞的风险提示

昆明学院信息中心

2022年06月13日

附件一

关于Fastjson反序列化远程代码执行漏洞的风险提示

近日，阿里巴巴公司修复了其开发的开源Java组件Fastjson的一处反序列化远程代码执行漏洞，攻击者利用此漏洞可在目标服务器上实现任意代码执行。Fastjson组件用于Java对象和JSON格式字符串的快速转换，在Java系统中应用广泛。请各单位排查相关系统是否使用了受此漏洞影响的Fastjson组件，及时修复漏洞，消除安全隐患。

漏洞影响的产品版本包括：

Fastjson<=1.2.80

漏洞处置建议：

目前，阿里巴巴公司已发布Fastjson 1.2.83版本修复此漏洞，请各单位强化风险意识，尽快排查是否部署了受影响的相关组件，及时参照官方指导升级至最新版本，做好风险防范，以免发生安全事件。

云南省互联网信息办公室

2022年6月1日