永洪社区

标题: 【漏洞预警】Fastjson远程代码执行漏洞（CNVD-2022-40233） [打印本页]

作者: 洪小豆 时间: 2022-5-25 10:23
标题: 【漏洞预警】Fastjson远程代码执行漏洞（CNVD-2022-40233）
Hi，all：

2022年5月24日，国家信息安全漏洞共享平台（CNVD）收录了Fastjson远程代码执行漏洞（CNVD-2022-40233，详细信息见https://www.cnvd.org.cn/flaw/show/CNVD-2022-40233）。
攻击者可以在特定依赖下利用此漏洞绕过默认autoType关闭限制，从而反序列化有安全风险的类。在特定条件下这可能导致远程代码执行。CNVD对该漏洞的综合评级为“高危”。

Yonghong Z-Suite 使用了fastjson，请尽快推动客户更新thirds.jar。
影响范围：<v9.4.2
解决方案：
1、更新thirds中的fastjson到最新的1.2.83版本：
1）删除thirds.jar\com\alibaba\fastjson文件夹；
2）复制附件替换进thirds.jar的根目录，选择全部替换。
2、v9.0-9.0.7.1、v9.2-v9.2.5.1和v9.4-9.4.1.1版本按上述方法升级后，会导致深度分析的rest请求和rest响应在处理date类型的时候报错，如有使用该功能，请到工单系统提交工单申请补丁包解决。

无法使用工单系统的用户，还请耐心等待，后续发布版本（如9.2.6/9.0.8等）也会解决该漏洞。

作者: 臭热闹 时间: 2022-5-30 00:06
帅

作者: 臭热闹 时间: 2022-5-30 00:08
可靠

作者: Love深海 时间: 2022-5-31 00:20
很有用

欢迎光临永洪社区 (https://club.yonghongtech.com/)