永洪社区

标题: 【漏洞预警】Fastjson远程代码执行漏洞(CNVD-2022-40233) [打印本页]

作者: 洪小豆    时间: 2022-5-25 10:23
标题: 【漏洞预警】Fastjson远程代码执行漏洞(CNVD-2022-40233)
Hi,all:

    2022年5月24日,国家信息安全漏洞共享平台(CNVD)收录了Fastjson远程代码执行漏洞(CNVD-2022-40233,详细信息见https://www.cnvd.org.cn/flaw/show/CNVD-2022-40233)
    攻击者可以在特定依赖下利用此漏洞绕过默认autoType关闭限制,从而反序列化有安全风险的类。 在特定条件下这可能导致远程代码执行。CNVD对该漏洞的综合评级为“高危”。

    Yonghong Z-Suite 使用了fastjson,请尽快推动客户更新thirds.jar。
    影响范围:<v9.4.2
    解决方案:
        1、更新thirds中的fastjson到最新的1.2.83版本:
            1)删除thirds.jar\com\alibaba\fastjson文件夹;
            2)复制附件替换进thirds.jar的根目录,选择全部替换。
        2、v9.0-9.0.7.1、v9.2-v9.2.5.1和v9.4-9.4.1.1版本按上述方法升级后,会导致深度分析的rest请求和rest响应在处理date类型的时候报错,如有使用该功能,请到工单系统提交工单申请补丁包解决。


    无法使用工单系统的用户,还请耐心等待,后续发布版本(如9.2.6/9.0.8等)也会解决该漏洞。


作者: 臭热闹    时间: 2022-5-30 00:06

作者: 臭热闹    时间: 2022-5-30 00:08
可靠
作者: Love深海    时间: 2022-5-31 00:20
很有用




欢迎光临 永洪社区 (https://club.yonghongtech.com/) Powered by Discuz! X3.4