Fastjson使用黑白名单用于防御反序列化漏洞,并允许用户在输入JSON串时通过“@type”键对应的value指定任意反序列化类名。在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大(也就是通常所指的“Gadget”)。 二、受影响的版本: 特定依赖存在下影响 ≤1.2.80 三、漏洞等级: 风险评级:高危 四、官方...
Fastjson使用黑白名单用于防御反序列化漏洞,并允许用户在输入JSON串时通过“@type”键对应的value指定任意反序列化类名。在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大(也就是通常所指的“Gadget”)。 二、受影响的版本: 特定依赖存在下影响 ≤1.2.80 三、漏洞等级: 风险评级:高危 四、官方...