重要通知丨MeterSphere Fastjson反序列化漏洞通知及修复方案(MS-2022-03)

发布于 2022年05月28日

2022年5月,Fastjson Develop Team发布安全公告(https://github.com/alibaba/fastjson/wiki/security_update_20220523),修复了一个存在于Fastjson v1.2.80及之前版本中的反序列化漏洞。Fastjson已使用黑白名单用于防御反序列化漏洞,经研究该漏洞利用在特定条件下可绕过默认AutoType关闭限制,攻击远程服务器,风险影响较大。

Fastjson v1.2.80及之前版本的依赖包在MeterSphere开源持续测试平台中也被使用,建议MeterSphere平台用户尽快进行升级修复操作。

受影响版本为:

MeterSphere <= v1.20.3

修复方案:

升级至MeterSphere v1.20.4 LTS安全版本(2022年5月27日发布)。

注:MeterSphere v1.20.4 LTS版本已将Fastjson依赖库升级至最新的v1.2.83安全版本。

特别说明:

此漏洞属于高危漏洞,请用户尽快升级至安全版本。