fastjson 关于0day漏洞

tzxcd3kk  于 2021-11-27  发布在  Java
关注(0)|答案(11)|浏览(341)

说明:fastjson javaweb框架0day漏洞
影响版本:1.2.30以下,以及1.2.41到1.2.45版本 存在漏洞
默认开启了autoType功能,可以在json中通过@type指定类进行自动示例化。

=================================================
请问1.2.41到1.2.45版本还存在这个漏洞吗?

fzsnzjdm

fzsnzjdm1#

1.2.41到1.2.45版本是否默认开启了autoType功能?
这个在源码上要如何查看?

pokxtpni

pokxtpni2#

@weakfi You can look how it is initialized here

Or just test your config instance in runtime with the isAutoTypeSupport call.

omtl5h9j

omtl5h9j3#

@plokhotnyuk thanks for help

o4hqfura

o4hqfura4#

我们也收到fastjson 0day预警, 我们目前使用的是1.1.46.sec01版本,请问下是否受影响呢?我们测试isAutoTypeSupport默认是关闭的。
谢谢 @wenshao

yjghlzjz

yjghlzjz5#

@wenshao Any update ?

pkbketx9

pkbketx96#

原来周六加班12个小时是为了这个漏洞。。。

wqsoz72f

wqsoz72f7#

autotype 的问题之前不是爆过漏洞,当时 fastjson 默认关闭 autotype 不是已经解决了么,怎么又来了?
https://github.com/alibaba/fastjson/wiki/enable_autotype

yzuktlbb

yzuktlbb8#

关于这个问题有poc可以验证么

cwtwac6a

cwtwac6a9#

你们之前是哪个版本啊,我们现在是1.2.44不确定是否要升级

c9x0cxw0

c9x0cxw010#

isAutoTypeSupport 默认是false, 需要手动开启。 跟这个没关系。

c7rzv4ha

c7rzv4ha11#

由于兼容问题无法升级到1.2.x,按升级建议将1.1.41升级到1.1.46.sec04也有兼容性问题,但1.1.41.sec04可以兼容,请问1.1.41.sec04是否修复了此问题?

相关问题