fastjson 获取精确版本号的方法

细节目前来看是可以影响到最新版本(1.2.73)的。之前在找 fastjson 漏洞时看了很多可能存在问题的代码。其中就包括 JavaBeanDeserializer 类。该类有一处值得关注的代码如下图。这里在某个条件成立后就会抛出一个异常。异常的 message 会把当前 fastjson 的版本号输出。VERSION 常量由三个类调用,只有 JavaBeanDeserializer 比较...

  • admin
  • September 11, 2020
  • No comments