说明:fastjson javaweb框架0day漏洞影响版本:1.2.30以下,以及1.2.41到1.2.45版本 存在漏洞默认开启了autoType功能,可以在json中通过@type指定类进行自动示例化。
=================================================请问1.2.41到1.2.45版本还存在这个漏洞吗?
fzsnzjdm1#
1.2.41到1.2.45版本是否默认开启了autoType功能?这个在源码上要如何查看?
pokxtpni2#
@weakfi You can look how it is initialized here
Or just test your config instance in runtime with the isAutoTypeSupport call.
isAutoTypeSupport
omtl5h9j3#
@plokhotnyuk thanks for help
o4hqfura4#
我们也收到fastjson 0day预警, 我们目前使用的是1.1.46.sec01版本,请问下是否受影响呢?我们测试isAutoTypeSupport默认是关闭的。谢谢 @wenshao
yjghlzjz5#
@wenshao Any update ?
pkbketx96#
原来周六加班12个小时是为了这个漏洞。。。
wqsoz72f7#
autotype 的问题之前不是爆过漏洞,当时 fastjson 默认关闭 autotype 不是已经解决了么,怎么又来了?https://github.com/alibaba/fastjson/wiki/enable_autotype
yzuktlbb8#
关于这个问题有poc可以验证么
cwtwac6a9#
你们之前是哪个版本啊,我们现在是1.2.44不确定是否要升级
c9x0cxw010#
isAutoTypeSupport 默认是false, 需要手动开启。 跟这个没关系。
c7rzv4ha11#
由于兼容问题无法升级到1.2.x,按升级建议将1.1.41升级到1.1.46.sec04也有兼容性问题,但1.1.41.sec04可以兼容,请问1.1.41.sec04是否修复了此问题?
11条答案
按热度按时间fzsnzjdm1#
1.2.41到1.2.45版本是否默认开启了autoType功能?
这个在源码上要如何查看?
pokxtpni2#
@weakfi You can look how it is initialized here
Or just test your config instance in runtime with the
isAutoTypeSupportcall.omtl5h9j3#
@plokhotnyuk thanks for help
o4hqfura4#
我们也收到fastjson 0day预警, 我们目前使用的是1.1.46.sec01版本,请问下是否受影响呢?我们测试isAutoTypeSupport默认是关闭的。
谢谢 @wenshao
yjghlzjz5#
@wenshao Any update ?
pkbketx96#
原来周六加班12个小时是为了这个漏洞。。。
wqsoz72f7#
autotype 的问题之前不是爆过漏洞,当时 fastjson 默认关闭 autotype 不是已经解决了么,怎么又来了?
https://github.com/alibaba/fastjson/wiki/enable_autotype
yzuktlbb8#
关于这个问题有poc可以验证么
cwtwac6a9#
你们之前是哪个版本啊,我们现在是1.2.44不确定是否要升级
c9x0cxw010#
isAutoTypeSupport 默认是false, 需要手动开启。 跟这个没关系。
c7rzv4ha11#
由于兼容问题无法升级到1.2.x,按升级建议将1.1.41升级到1.1.46.sec04也有兼容性问题,但1.1.41.sec04可以兼容,请问1.1.41.sec04是否修复了此问题?