关注JEECG发展历程 关注最新动态和版本, 记录JEECG成长点滴 更新日志 - 技术支持 - 招聘英才

JEECG最新版本下载 JEECG智能开发平台 - 显著提高开发效率 常见问题 - 入门视频 - 参与开源团队

商务QQ: 69893005、418799587 商务热线(5*8小时): 010-64808099 官方邮箱: jeecgos@163.com

查看: 5215|回复: 0

【高危安全通告】fastjson≤1.2.80反序列化漏洞

[复制链接]
发表于 2022-5-25 11:19:21 | 显示全部楼层 |阅读模式
近日Fastjson Develop Team发布安全公告,Fastjson≤1.2.80版本中存在反序列化漏洞。攻击者可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。

目前Jeecgboot官方已完成修复,在此 建议Jeecgboot用户尽快修复。


修复方案非常简单:
  • 1.修改jeecg-boot\pom.xml文件中的,fastjson及jeewx-api版本


  • 2.修改jeecg-boot-module-system/pom.xml文件,添加fastjson排除



点击可参考修复方案

漏洞描述
  • fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,由于具有执行效率高的特点,应用范围广泛。

  • fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。


官方安全建议


您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表