项目引用了com.alibaba:fastjson等39个开源组件,存在36个漏洞,建议升级 #20
Description
大佬,你好,我是@abbykimi,我IDE运行您这个项目的时候,提示有几个漏洞,项目调用了com.alibaba:fastjson等39个开源组件,存在36个安全漏洞,建议你升级下。
漏洞标题:Fastjson < 1.2.25版本远程代码执行漏洞
漏洞编号:CVE-2017-18349
漏洞描述:
Fastjson 是Java语言实现的快速JSON解析和生成器,在1.2.25版本之前攻击者可通过精心构造的JSON请求远程执行任意代码。
漏洞原因:
Fastjson在通过autoType来实例化json对象时,未对@type字段进行安全性验证,攻击者可以传入危险类,并调用连接远程rmi主机,通过其中的恶意类执行代码。
国家漏洞库信息:https://www.cnvd.org.cn/flaw/show/CNVD-2018-21789
影响范围:(∞, 1.2.25)
最小修复版本:1.2.25
引入路径:
com.ruijc:util@3.1.0->com.ruijc:base@3.2.0->com.alibaba:fastjson@1.2.17
另外35个漏洞 ,信息有点多我就不贴了,你自己看下完整报告:https://www.mfsec.cn/jr?p=if9f38
如果你对这个issues有任何疑问可以回复我哈( @abbykimi ),我会及时回复你的。