发现漏洞:issue2689
2019年9月2号有开发者在fastjson的仓库提了一个issue:Fastjson新版本解析到特定字符后直接触发异常。
具体问题是:字符串中包含x转义字符时可能引发OOM的问题 ,如:
//Code
String DEATH_STRING = "{"a":"x";
Object obj = JSON.parse(DEATH_STRING);
//OOM
java.lang.OutOfMemoryError: Java heap space
at com.alibaba.fastjson.parser.JSONLexerBase.putChar(JSONLexerBase.java:5041)
at com.alibaba.fastjson.parser.JSONLexerBase.scanString(JSONLexerBase.java:889)
at com.alibaba.fastjson.parser.DefaultJSONParser.parseObject(DefaultJSONParser.java:483)
at com.alibaba.fastjson.parser.DefaultJSONParser.parse(DefaultJSONParser.java:1394)
at com.alibaba.fastjson.parser.DefaultJSONParser.parse(DefaultJSONParser.