TASKCTL 关于 "Fastjson 反序列化远程代码执行漏洞” 的风险通告

2022-06-14 13:58:42 浏览数 (4)

致大家

近期,对于 “Fastjson 反序列化远程代码执行漏洞”的安全问题,TASKCTL 已在第一时间高度关注并已启动安全风险的自检治理。我们会持续监控此问题的更新,保障与该漏洞相关的产品安全性,让大家放心使用。

漏洞说明

Fastjson 反序列化远程代码执行漏洞

据国家网络与信息安全信息通报中心监测发现,开源 Java 开发组件 Fastjson 存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。

影响范围

满足以下条件

Fastjson v1.2.80 及之前所有版本

用户漏洞自查

搜索 jar 文件确定 Fastjson 版本号,如果版本号≥v1.2.83,则不受漏洞影响

TASKCTL 漏洞自查

1.taskctl-monitor 监控应用客户端(适应于 TASKCTL v6.0)

如上图:没有使用 alibaba:jackson 组件。

2.taskctl-web 在线应用客户端(适用于 TASKCTL v7.0)

如上图:没有使用 alibaba:jackson 组件。

3.taskctl-web-8.0.010 在线应用客户端(适用于 TASKCTL v8.0)

如上图:没有使用 alibaba:jackson 组件。

最后

TASKCTL 全系 web 应用产品不受该漏洞影响。请大家放心使用。

产品官网:www.taskctl.com

1 人点赞