Fastjson是阿里巴巴的开源JSON解析库,前几天其开发团队Fastjson Develop Team 发现 fastjson 1.2.80及以下存在新的风险,fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全。
修复方法如下:文章源自搬瓦工-https://www.bwhcn.com/2998.html
1、升级到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83文章源自搬瓦工-https://www.bwhcn.com/2998.html
2、safeMode加固 https://github.com/alibaba/fastjson/wiki/fastjson_safemode文章源自搬瓦工-https://www.bwhcn.com/2998.html
3、升级到fastjson v2 https://github.com/alibaba/fastjson2/releases文章源自搬瓦工-https://www.bwhcn.com/2998.html
更详细的修复方法请访问官方地址:文章源自搬瓦工-https://www.bwhcn.com/2998.html
https://github.com/alibaba/fastjson/wiki/security_update_20220523文章源自搬瓦工-https://www.bwhcn.com/2998.html
文章源自搬瓦工-https://www.bwhcn.com/2998.html 文章源自搬瓦工-https://www.bwhcn.com/2998.html