绿盟: 在jackson-databind 中最新发现的反序列化 gadget 也同样影响了fastjson,经绿盟科技研究人员验证复现,该漏洞影响最新的fastjson 1.2.62 版本,利用该漏洞可导致受害机器上的远程代码执行。开启了autoType功能的用户会受此漏洞影响(autoType功能默认关闭)。
https://cloud.tencent.com/announce/detail/962 http://blog.nsfocus.net/fastjson0221/
文章中已经写得很清楚了:
【修复建议】
目前官方暂未发布修复该漏洞的新版本,开启了autoType功能的受影响用户可通过关闭autoType来规避风险,另建议将JDK升级到最新版本。
autoType关闭方法:
1)方法一:修复代码关闭autoType
在项目源码中搜索如下代码,找到并将此行代码删除: ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
2)方法二:启动命令参数禁用autoType
在JVM中启动项目时,不添加如下参数: -Dfastjson.parser.autoTypeSupport=true:
额,这个最终还是要升级的嘛 非要使用的话 autotype设置白名单临时解决一下https://github.com/alibaba/fastjson/wiki/enable_autotype