[alibaba/fastjson]Fastjson新版本解析到特定字符后直接触发异常

2024-08-28 976 views
9

已fix

回答

6

如果有fastjson的开发团队同学看到这个issue,帮忙复现确认一下。这个多半是源码的某处bug,希望能尽快的在某个版本修复掉。

0

希望fastjson开发团队重视这个问题,提高优先级修复。

9

已提交修复pr,感谢反馈。

0

感谢社区小伙伴的快速响应!

3

同一个文件的scanSymbol方法中有同样的逻辑,不需要一起改吗?

8

如果从这个bug的角度来说的话,现版本采取的修复手段除了加强字符串格式的检验外,还加强了对反序列化结束条件的判断,所以通过输入精心构造字符串来触发这个漏洞的方式已经被永久封堵了。 如果从程序处理入参的角度来说的话,是的,一起改会好些,多谢反馈 :)