fastjson1.2.74版本发布,fastjson低版本存在反序列化漏洞升级
bigdecimal格式化两位小数介绍说明
在项⽬开发中会经常使⽤到第三⽅库,⽐如fastjson是阿⾥巴巴的开源JSON解析库,它可以解析JSON格式的字符串,⽀持将Java Bean 序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。最为第三⽅库在项⽬中会使⽤,提供了⽅便。
但在安全⽅⾯fastjson总是被曝出存在反序列化安全漏洞,会造成会服务器的攻击,风险极⼤。
影响版本
fastjson <=1.2.68
fastjson sec版本 <= sec9
android版本不受此漏洞影响
解决办法
升级⾄最新版本1.2.74
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.74</version>
</dependency>
1.2.74更新说明
Issues
修复序列化时BeforeFilter/AfterFilter某些场景报空指针异常的问题 #3373 #3475
TypeUtils float/double转换为BigInteger/BigDecimal时判断isNan和isInfinite
⽀持通过启动参数和fastjson.properties配置fastjson.auto.discoverable, 解决某些场景fastjson与jackson冲突问题
增强对Jdk8⽇期格式化⽀持 #3288
修复某些场景对泛型推导不正确的问题 #3448
修复JSONValidator某些场景结果不对的问题 #3453 #3460
序列化增加对org.json.JSONObject的⽀持

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。