- A+
所属分类:未分类
Jackson
详情
Jackson框架enableDefaultTyping方法反序列化漏洞(CNVD-2017-04483),该漏洞的触发条件是ObjectMapper反序列化前调用了enableDefaultTyping方法。该方法允许json字符串中指定反序列化java对象的类名,而在使用Object、Map、List等对象时,可诱发反序列化漏洞。
影响范围
漏洞影响范围 漏洞影响Jackson 2.7版本(<2.7.10)、2.8版本(<2.8.9)。
建议
需更新到2.7.10或2.8.9版本
FastJson
详情
攻击者可以通过发送构造好的请求而致使当前线程瘫痪,当发送的恶意请求过多时有可能使业务直接瘫痪。
影响范围
< 1.2.60版本
建议
- 1.1.15~1.1.31版本更新到1.1.31.sec07版本
- 1.1.32~1.1.33版本更新到1.1.33.sec06版本
- 1.1.34 版本更新到1.1.34.sec06版本
- 1.1.35~1.1.46版本更新到1.1.46.sec06版本
- 1.2.3~1.2.7版本更新到1.2.7.sec06版本或1.2.8.sec04版本
- 1.2.8 版本更新到1.2.8.sec06版本
- 1.2.9~1.2.29 版本更新到1.2.29.sec06版本
- 安卓客户端下载
- 微信扫一扫
- 微信公众号
- 微信公众号扫一扫