TASKCTL 关于 "Fastjson 反序列化远程代码执行漏洞” 的风险通告

致大家

近期，对于 “Fastjson 反序列化远程代码执行漏洞”的安全问题，TASKCTL 已在第一时间高度关注并已启动安全风险的自检治理。我们会持续监控此问题的更新，保障与该漏洞相关的产品安全性，让大家放心使用。

漏洞说明

Fastjson 反序列化远程代码执行漏洞

据国家网络与信息安全信息通报中心监测发现，开源 Java 开发组件 Fastjson 存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为，造成服务器权限被窃取、敏感信息泄漏等严重影响。

影响范围

满足以下条件

Fastjson v1.2.80 及之前所有版本

用户漏洞自查

搜索 jar 文件确定 Fastjson 版本号，如果版本号≥v1.2.83，则不受漏洞影响

TASKCTL 漏洞自查

1.taskctl-monitor 监控应用客户端（适应于 TASKCTL v6.0）

如上图：没有使用 alibaba:jackson 组件。

2.taskctl-web 在线应用客户端(适用于 TASKCTL v7.0)

如上图：没有使用 alibaba:jackson 组件。

3.taskctl-web-8.0.010 在线应用客户端（适用于 TASKCTL v8.0）

如上图：没有使用 alibaba:jackson 组件。

最后

TASKCTL 全系 web 应用产品不受该漏洞影响。请大家放心使用。

产品官网：www.taskctl.com