Fastjson 反序列化漏洞 影响版本≤1.2.80

2022-05-24 21:06:19 +08:00
 twofox

近日 Fastjson Develop Team 发现 fastjson 1.2.80 及以下存在新的风险,请关注。 fastjson 已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 fastjson 用户尽快采取安全措施保障系统安全。

这个影响是不是有点大。我司目前还在用 1.2.34 ( CSDN 都有复现教程了

但是我同时有点好奇,这些漏洞怎么样去利用的?有什么论坛是交流这些的吗

我是 web 开发,并非网络安全方向,所以不太懂

4803 次点击
所在节点    Java
22 条回复
shuang
2022-05-26 00:18:03 +08:00
@hhjswf 虽然心里有点慌,我也是选择先不升级吧,怕升级后再出现什么不兼容的问题影响就大了
xuanbg
2022-05-26 05:04:38 +08:00
@zmal 不要过度抽象。什么时候连泛型都解决不了问题,那肯定就是过度抽象了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/855061

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX