fastjson 1.2.6升级到1.2.58需要注意什么?

piztneat  于 2021-11-27  发布在  Java
关注(0)|答案(4)|浏览(346)

1.2.6的版本有0day的漏洞,请问一下1.2.6升级到1.2.58需要注意什么?

798qvoo8

798qvoo81#

已知兼容问题都修复过的,这里有一个不兼容列表:
https://github.com/alibaba/fastjson/wiki/incompatible_change_list
遇到问题发issue或者各种方式联系,我会提供支持

钉钉号 wenshaojin2017
微信号 wenshaojin
微博 http://weibo.com/wengaotie

polkgigr

polkgigr2#

【漏洞预警】fastjson javaweb框架0day漏洞
影响版本:1.2.30以下,以及1.2.41到1.2.45版本存在漏洞(包括不在本次0day版本范围内的低版本默认开启了autoType功能)
处理建议:升级到最新:1.2.58以上版本,并关闭autoType功能。
漏洞影响:利用fastjson javaweb框架可以在json中通过@type指定类进行自动示例化,构造相应代码,发送给存在fastjson处理的模块就会造成远程代码执行。

zbq4xfa0

zbq4xfa03#

这个autoType关闭在哪里关闭?请教下

r9f1avp5

r9f1avp54#

1.2.6 版本有漏洞吗?看到的漏洞影响范围貌似不存在1.2.6

相关问题