关于0day漏洞

[weakfi]

说明：fastjson javaweb框架0day漏洞 影响版本：1.2.30以下，以及1.2.41到1.2.45版本 存在漏洞 默认开启了autoType功能，可以在json中通过@type指定类进行自动实例化。

================================================= 请问1.2.41到1.2.45版本还存在这个漏洞吗？

[weakfi]

1.2.41到1.2.45版本是否默认开启了autoType功能？ 这个在源码上要如何查看？

[plokhotnyuk]

@weakfi You can look how it is initialized here

Or just test your config instance in runtime with the isAutoTypeSupport call.

[weakfi]

@plokhotnyuk thanks for help

[249043822]

我们也收到fastjson 0day预警， 我们目前使用的是1.1.46.sec01版本，请问下是否受影响呢？我们测试isAutoTypeSupport默认是关闭的。 谢谢 @wenshao

[djsousuo]

@wenshao Any update ?

[jacarrichan]

原来周六加班12个小时是为了这个漏洞。。。

[frankiegao123]

autotype 的问题之前不是爆过漏洞，当时 fastjson 默认关闭 autotype 不是已经解决了么，怎么又来了？ https://github.com/alibaba/fastjson/wiki/enable_autotype

[jokimina]

关于这个问题有poc可以验证么

[study-group123]

原来周六加班12个小时是为了这个漏洞。。。

你们之前是哪个版本啊，我们现在是1.2.44不确定是否要升级

[EngineerKevin2468]

isAutoTypeSupport

isAutoTypeSupport 默认是false, 需要手动开启。 跟这个没关系。

[polluxy]

由于兼容问题无法升级到1.2.x，按升级建议将1.1.41升级到1.1.46.sec04也有兼容性问题，但1.1.41.sec04可以兼容，请问1.1.41.sec04是否修复了此问题？