请选择 进入手机版 | 继续访问电脑版

【漏洞预警】Fastjson远程代码执行漏洞(CNVD-2022-40233)

洪小豆 显示全部楼层 发表于 2022-5-25 10:23:16 |阅读模式 打印 上一主题 下一主题
Hi,all:

    2022年5月24日,国家信息安全漏洞共享平台(CNVD)收录了Fastjson远程代码执行漏洞(CNVD-2022-40233,详细信息见https://www.cnvd.org.cn/flaw/show/CNVD-2022-40233)
    攻击者可以在特定依赖下利用此漏洞绕过默认autoType关闭限制,从而反序列化有安全风险的类。 在特定条件下这可能导致远程代码执行。CNVD对该漏洞的综合评级为“高危”。

    Yonghong Z-Suite 使用了fastjson,请尽快推动客户更新thirds.jar。
    影响范围:<v9.4.2
    解决方案:
        1、更新thirds中的fastjson到最新的1.2.83版本:
            1)删除thirds.jar\com\alibaba\fastjson文件夹;
            2)复制附件替换进thirds.jar的根目录,选择全部替换。
        2、v9.0-9.0.7.1、v9.2-v9.2.5.1和v9.4-9.4.1.1版本按上述方法升级后,会导致深度分析的rest请求和rest响应在处理date类型的时候报错,如有使用该功能,请到工单系统提交工单申请补丁包解决。


    无法使用工单系统的用户,还请耐心等待,后续发布版本(如9.2.6/9.0.8等)也会解决该漏洞。

fastjson-1.2.83.rar

610.98 KB, 下载次数: 34

回复

使用道具 举报

精彩评论3

臭热闹白银一 显示全部楼层 发表于 2022-5-30 00:06:36
回复

使用道具 举报

臭热闹白银一 显示全部楼层 发表于 2022-5-30 00:08:12
可靠
回复

使用道具 举报

Love深海青铜四 显示全部楼层 发表于 2022-5-31 00:20:03
很有用
回复

使用道具 举报

高级模式
您需要登录后才可以回帖 登录 | 免费注册

  • 官方微信

    欢迎关注永洪服务号!收费为0,价值无限

    扫码关注
  • 新浪微博

    让每位用户轻松挖掘数据价值!

    访问新浪微博
  • 智能客服
50W

会员等你来哦

Copyright   ©2012-2024  北京永洪商智科技有限公司  (京ICP备12050607) 京公网安备110110802011451号 |联系社区管理员|《永洪社区协议》
返回顶部