2022年5月,Fastjson Develop Team发布安全公告(https://github.com/alibaba/fastjson/wiki/security_update_20220523),修复了一个存在于Fastjson v1.2.80及之前版本中的反序列化漏洞。Fastjson已使用黑白名单用于防御反序列化漏洞,经研究该漏洞利用在特定条件下可绕过默认AutoType关闭限制,攻击远程服务器,风险影响较大。
Fastjson v1.2.80及之前版本的依赖包在MeterSphere开源持续测试平台中也被使用,建议MeterSphere平台用户尽快进行升级修复操作。
受影响版本为:
MeterSphere <= v1.20.3
修复方案:
升级至MeterSphere v1.20.4 LTS安全版本(2022年5月27日发布)。
注:MeterSphere v1.20.4 LTS版本已将Fastjson依赖库升级至最新的v1.2.83安全版本。
特别说明:
此漏洞属于高危漏洞,请用户尽快升级至安全版本。