同学，您这个项目引入了231个开源组件，存在14个漏洞，辛苦升级一下

[ghost]

检测到 Josh-Zhen/kingserp 一共引入了231个开源组件，存在14个漏洞

漏洞标题：Fastjson <=1.2.68 远程代码执行漏洞
缺陷组件：com.alibaba:fastjson@1.2.50
漏洞编号：
漏洞描述：Fastjson 是Java语言实现的快速JSON解析和生成器，在<=1.2.68的版本中攻击者可通过精心构造的JSON请求，远程执行恶意代码。
漏洞原因：
Fastjson采用黑白名单的方法来防御反序列化漏洞，导致当黑客不断发掘新的反序列化Gadgets类时，发现在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制，造成远程命令执行漏洞。
国家漏洞库信息：https://www.cnvd.org.cn/flaw/show/CNVD-2020-30827
影响范围：(∞, 1.2.69)
最小修复版本：1.2.69
缺陷组件引入路径：com.moonlit.kingserp.login:login@0.0.1-SNAPSHOT->com.alipay.sdk:alipay-sdk-java@4.10.0.ALL->com.alibaba:fastjson@1.2.50

另外还有14个漏洞，详细报告：https://mofeisec.com/jr?p=a31ac2

[Josh-Zhen]

同學，麻煩自己解決。這只是個腳手架

Joshua寄

kwaisecer[bot] @.**@.>> 於 2022年3月11日 10:23 寫道：

检测到 Josh-Zhen/kingserp 一共引入了231个开源组件，存在14个漏洞

漏洞标题：Fastjson <=1.2.68 远程代码执行漏洞 @. 漏洞编号： 漏洞描述：Fastjson 是Java语言实现的快速JSON解析和生成器，在<=1.2.68的版本中攻击者可通过精心构造的JSON请求，远程执行恶意代码。 漏洞原因： Fastjson采用黑白名单的方法来防御反序列化漏洞，导致当黑客不断发掘新的反序列化Gadgets类时，发现在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制，造成远程命令执行漏洞。 国家漏洞库信息：https://www.cnvd.org.cn/flaw/show/CNVD-2020-30827 影响范围：(∞, 1.2.69) 最小修复版本：1.2.69 @*.**@*.**@*.**@*.***

另外还有14个漏洞，详细报告：https://mofeisec.com/jr?p=a31ac2

— Reply to this email directly, view it on GitHubhttps://github.com/Josh-Zhen/kingserp/issues/3, or unsubscribehttps://github.com/notifications/unsubscribe-auth/AHCUGL2K7TRREJDZFANTEATU7KVAFANCNFSM5QOLJM3A. Triage notifications on the go with GitHub Mobile for iOShttps://apps.apple.com/app/apple-store/id1477376905?ct=notification-email&mt=8&pt=524675 or Androidhttps://play.google.com/store/apps/details?id=com.github.android&referrer=utm_campaign%3Dnotification-email%26utm_medium%3Demail%26utm_source%3Dgithub. You are receiving this because you were mentioned.Message ID: @.***>