Global FeedMay 22

Fastjson 1.2.68 finally patches the Autotype flaw. The update blocks dynamic method calls and tightens type resolution, stopping remote‑code‑execution vectors that arise from deserializing untrusted JSON. If you still run older versions, upgrade now to keep your services safe.

#Fastjson #SecurityPatch #JSONDeserialization #Infosec #OpenSource

🔗 https://www.cnblogs.com/tr1ple/p/13489260.html

Fastjson1.2.68 绕Autotype的一点总结 - tr1ple - 博客园

这篇文章主要总结学习目前网上关于1.2.68下绕过Autotype的一些方法用到的思路。 前置知识: checkautotype因为是对要进行反序列化的类进行检测的方法 所以我们只需要让其返回Class类型的实例即可 一般会有以下几种情况通过验证: 1.autoTypeCheckHandlers不为