li-ji-ji / CSP

0 stars 1 forks source link

同学,您这个项目引入了51个开源组件,存在75个漏洞,辛苦升级一下 #18

Open dependasec[bot] opened 2 years ago

dependasec[bot] commented 2 years ago

检测到 li-ji-ji/CSP 一共引入了51个开源组件,存在75个漏洞

漏洞标题:Fastjson <=1.2.68 远程代码执行漏洞
缺陷组件:com.alibaba:fastjson@1.2.4
漏洞编号:
漏洞描述:Fastjson 是Java语言实现的快速JSON解析和生成器,在<=1.2.68的版本中攻击者可通过精心构造的JSON请求,远程执行恶意代码。
漏洞原因:
Fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,发现在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。
国家漏洞库信息:https://www.cnvd.org.cn/flaw/show/CNVD-2020-30827
影响范围:(∞, 1.2.69)
最小修复版本:1.2.69
缺陷组件引入路径:com.lhj.csp:CSP2.0@2.0->com.alibaba:fastjson@1.2.4

另外还有75个漏洞,详细报告:https://mofeisec.com/jr?p=i17ba6

kwaiceesc commented 2 years ago

@li-ji-ji,同学,您好,上面的漏洞报告是我IDE运行时,安全插件提示您这个项目存在的几个漏洞的报告,辛苦您修复一下哈,担心其他人也会用到你这个项目,从而引入这些漏洞。:)