Fastjson 官方发布公告称在 1.2.80 及以下版本中 存在新的反序列化风险,在特定条件下可绕过默认 autoType 关闭限制,从而反序列化有安 全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行。
Fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。由于具 有执行效率高的特点,应用范围广泛。
受影响版本:Fastjson ≤ 1.2.80
不受影响版本:Fastjson = 1.2.8
当前版本涉及漏洞,预计22年6月底发布版本解决
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作