同学，您这个项目引入了46个开源组件，存在17个漏洞，辛苦升级一下

[ghost]

检测到 Ayu000/community 一共引入了46个开源组件，存在17个漏洞

漏洞标题：Fastjson <=1.2.68 远程代码执行漏洞
缺陷组件：com.alibaba:fastjson@1.2.57
漏洞编号：
漏洞描述：Fastjson 是Java语言实现的快速JSON解析和生成器，在<=1.2.68的版本中攻击者可通过精心构造的JSON请求，远程执行恶意代码。
漏洞原因：
Fastjson采用黑白名单的方法来防御反序列化漏洞，导致当黑客不断发掘新的反序列化Gadgets类时，发现在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制，造成远程命令执行漏洞。
国家漏洞库信息：https://www.cnvd.org.cn/flaw/show/CNVD-2020-30827
影响范围：(∞, 1.2.69)
最小修复版本：1.2.69
缺陷组件引入路径：com.ayu.community:ayu@0.0.1-SNAPSHOT->com.alibaba:fastjson@1.2.57

另外还有17个漏洞，详细报告：https://mofeisec.com/jr?p=i8ae44

[Ayu000]

同学，别fork我这个项目啊，我这个没写完，都不知道荒废了多久了。

------------------ 原始邮件 ------------------ 发件人: "Ayu000/community" @.>; 发送时间: 2022年3月10日(星期四) 中午1:52 @.>; @.**@.>; 主题: Re: [Ayu000/community] 同学，您这个项目引入了46个开源组件，存在17个漏洞，辛苦升级一下 (Issue #3)

@Ayu000，同学，您好，上面的漏洞报告是我IDE运行时，安全插件提示您这个项目存在的几个漏洞的报告，辛苦您修复一下哈，担心其他人也会用到你这个项目，从而引入这些漏洞。：）

— Reply to this email directly, view it on GitHub, or unsubscribe. You are receiving this because you were mentioned.Message ID: @.***>