utils
utils copied to clipboard
Published
20 hours ago •
storezhang
storezhang
项目引用了com.alibaba:fastjson等39个开源组件,存在36个漏洞,建议升级
大佬,你好,我是@abbykimi,我IDE运行您这个项目的时候,提示有几个漏洞,项目调用了com.alibaba:fastjson等39个开源组件,存在36个安全漏洞,建议你升级下。
漏洞标题:Fastjson < 1.2.25版本远程代码执行漏洞
漏洞编号:CVE-2017-18349
漏洞描述:
Fastjson 是Java语言实现的快速JSON解析和生成器,在1.2.25版本之前攻击者可通过精心构造的JSON请求远程执行任意代码。
漏洞原因:
Fastjson在通过autoType来实例化json对象时,未对@type字段进行安全性验证,攻击者可以传入危险类,并调用连接远程rmi主机,通过其中的恶意类执行代码。
国家漏洞库信息:https://www.cnvd.org.cn/flaw/show/CNVD-2018-21789
影响范围:(∞, 1.2.25)
最小修复版本:1.2.25
引入路径:
com.ruijc:[email protected]>com.ruijc:[email protected]>com.alibaba:[email protected]
另外35个漏洞 ,信息有点多我就不贴了,你自己看下完整报告:https://www.mfsec.cn/jr?p=if9f38
如果你对这个issues有任何疑问可以回复我哈( @abbykimi ),我会及时回复你的。
老哥,我转Golang好些年了,很少再维护Java项目,如果对Golang感兴趣可以聊聊
另外,如果想改Java源代码,我可以把你的账号加上权限,如有需要,请联系我
谢谢
|
|
---- 回复的原邮件 ----
| 发件人 | |
| 日期 | 2022年03月03日 16:17 |
| 收件人 | |
| 抄送至 | |
| 主题 | [storezhang/utils] 项目引用了com.alibaba:fastjson等39个开源组件,存在36个漏洞,建议升级 (Issue #20) |
大佬,你好,我是,我IDE运行您这个项目的时候,提示有几个漏洞,项目调用了com.alibaba:fastjson等39个开源组件,存在36个安全漏洞,建议你升级下。
漏洞标题:Fastjson < 1.2.25版本远程代码执行漏洞
漏洞编号:CVE-2017-18349
漏洞描述:
Fastjson 是Java语言实现的快速JSON解析和生成器,在1.2.25版本之前攻击者可通过精心构造的JSON请求远程执行任意代码。
漏洞原因:
***@***.***字段进行安全性验证,攻击者可以传入危险类,并调用连接远程rmi主机,通过其中的恶意类执行代码。
国家漏洞库信息:https://www.cnvd.org.cn/flaw/show/CNVD-2018-21789
影响范围:(∞, 1.2.25)
最小修复版本:1.2.25
引入路径:
***@***.******@***.******@***.***
另外35个漏洞 ,信息有点多我就不贴了,你自己看下完整报告:https://www.mfsec.cn/jr?p=if9f38
如果你对这个issues有任何疑问可以回复我哈( ),我会及时回复你的。
—
Reply to this email directly, view it on GitHub, or unsubscribe.
Triage notifications on the go with GitHub Mobile for iOS or Android.
You are receiving this because you are subscribed to this thread.
