近日,Fastjson官方发布了1.2.67版本,修复了之前旧版本存在的autoType黑名单类绕过漏洞,可导致远程攻击者进行RCE攻击。在不久之前,同类产品Fasterxml jackson-databind就曝出过多个黑名单类绕过漏洞,由于在打开AutoType的场景下使用了相同的防御机制(黑名单类),Fastjson也不可避免地受到影响。 Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到极致,是目前Java语言中最快的JSON库。Fastjson接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。 ——ctolib 危害等级.



Source link

Write a comment:
*

Your email address will not be published.