【漏洞预警】Fastjson远程代码执行漏洞（CNVD-2022-40233）

Hi，all：

    2022年5月24日，国家信息安全漏洞共享平台（CNVD）收录了Fastjson远程代码执行漏洞（CNVD-2022-40233，详细信息见https://www.cnvd.org.cn/flaw/show/CNVD-2022-40233）。
    攻击者可以在特定依赖下利用此漏洞绕过默认autoType关闭限制，从而反序列化有安全风险的类。 在特定条件下这可能导致远程代码执行。CNVD对该漏洞的综合评级为“高危”。

    Yonghong Z-Suite 使用了fastjson，请尽快推动客户更新thirds.jar。
    影响范围：<v9.4.2
    解决方案：
        1、更新thirds中的fastjson到最新的1.2.83版本：
            1）删除thirds.jar\com\alibaba\fastjson文件夹；
            2）复制附件替换进thirds.jar的根目录，选择全部替换。
        2、v9.0-9.0.7.1、v9.2-v9.2.5.1和v9.4-9.4.1.1版本按上述方法升级后，会导致深度分析的rest请求和rest响应在处理date类型的时候报错，如有使用该功能，请到工单系统提交工单申请补丁包解决。


    无法使用工单系统的用户，还请耐心等待，后续发布版本（如9.2.6/9.0.8等）也会解决该漏洞。

帅

可靠

很有用