3
说明:fastjson javaweb框架0day漏洞 影响版本:1.2.30以下,以及1.2.41到1.2.45版本 存在漏洞 默认开启了autoType功能,可以在json中通过@type指定类进行自动实例化。
================================================= 请问1.2.41到1.2.45版本还存在这个漏洞吗?
Q
[alibaba/fastjson]关于0day漏洞
A
回答
0
1.2.41到1.2.45版本是否默认开启了autoType功能? 这个在源码上要如何查看?
7
@weakfi 你可以在这里看看它是如何初始化的
或者只需在运行时通过调用测试您的配置实例isAutoTypeSupport。
6
@plokhotnyuk 谢谢你的帮助
9
我们也收到fastjson 0day预警, 我们目前使用的是1.1.46.sec01版本,请问下是否受影响呢?我们测试isAutoTypeSupport默认是关闭的。 谢谢 @wenshao
1
@wenshao Any update ?
2
原来周六加班12个小时是为了这个漏洞。。。
6
autotype 的问题之前不是爆过漏洞,当时 fastjson 默认关闭 autotype 不是已经解决了么,怎么又来了? https://github.com/alibaba/fastjson/wiki/enable_autotype
1
关于这个问题有poc可以验证么
1
原来周六加班12个小时是为了这个漏洞。。。
你们之前是哪个版本啊,我们现在是1.2.44不确定是否要升级
6
isAutoTypeSupport
isAutoTypeSupport 默认是false, 需要手动开启。 跟这个没关系。
9
由于兼容问题无法升级到1.2.x,按升级建议将1.1.41升级到1.1.46.sec04也有兼容性问题,但1.1.41.sec04可以兼容,请问1.1.41.sec04是否修复了此问题?