2022年5月23日，fastjson 官方发布安全通报，1.2.80及以下版本存在反序列化任意代码执行漏洞，在特定条件下可绕过默认autoType关闭限制，可能会导致远程服务器被攻击，漏洞等级为高危，风险影响较大[1]。

fastjson是Java、Android等平台广泛使用的JSON解析库，大量项目将其作为依赖，可谓Java生态最为常用的基础库之一。此漏洞究竟造成多大的影响？奇安信技术研究院星图实验室利用自研的“天问”软件供应链平台对其进行了深度挖掘分析。

在Maven Central这一Java最重要的仓库中，共有近万个Java包受到fastjson漏洞影响，占包总量的2.13%。

截止2022年5月24日，我们发现Maven Central中的9,902个Java包依赖于包含漏洞的fastjson版本，这意味着Maven Central上约2.13%的软件包至少有一个版本受到此漏洞威胁。如果说去年底爆出log4j远程代码执行漏洞是一颗大型核弹的话（影响了约17,000个Java包，占比约4%），fastjson的漏洞影响不亚于一颗中型核弹了。

在Maven Central上，直接依赖了fastjson漏洞版本的Java软件包数量达到了3,845个，占到所有受影响Java包的38.8%，也就是说，有高达61.2%的Java包间接依赖了fastjson（即自身依赖的一个软件包依赖了fastjson）。

图1 直接依赖漏洞软件包（左）和间接依赖漏洞软件包（右） 来源: Google Security Blog

分析发现Apache Dubbo、RocketMQ、Beam，阿里巴巴Nacos、Sentinel、京东云Java SDK等重要项目依赖了含漏洞的fastjson版本，使用这些项目的开发者需要密切关注漏洞修复进展，及时更新到补丁版本。