【影响结论】对V5.6至V7.1SP1版本产品，其它版本无影响。

1. 已有补丁，可下载使用 点击这里下载

2. 已经更新fastjson补丁的客户不受本次绕过漏洞的影响

【情况分析】

一、漏洞相关信息

• 漏洞名称：Fastjson 绕过默认 autoType 关闭限制漏洞。

• 漏洞描述：Fastjson 1.2.80 及以下版本在特定条件可绕过默认autoType 关闭限制，攻击者可远程发起反序列化攻击，获取服务器权限。

• 影响范围：Fastjson <= 1.2.80。

二、致远V5历史版本使用Fastjson组件情况

• A6/A8/A8-N系列 V5.1及以下版本：未使用fastjson组件。

• A6/A8/A8-N系列 V5.6至V7.1SP1版本：

    ▪️ 使用fastjson组件。

    ▪️ 已发布过补丁解决历史漏洞，本次漏洞只是历史漏洞的fastjson官方修复方案的绕过利用，致远未使用官方修复方案，不受本次漏洞影响。

• A6/A8/A8-N系列 V8.0及以上版本：未使用fastjson组件。

三、V5.6至V7.1SP1版本产品，使用fastjson及受影响情况说明

• 历史漏洞名称：fasjson autoType反序列化。

• 本次漏洞说明：fasjson autoType反序列化防护默认配置绕过漏洞。

• 致远补丁逻辑：在历史漏洞爆发时， 致远发布了针对致远OA系统的fastjson反序列化漏洞补丁，对于fastjson中的autotype反序列化问题进行了直接的处理，当代码调用进入到autotype序列会直接退出，直接废弃autotype。