2022年3月30日,国家信息安全漏洞共享平台(CNVD)收录了Spring框架远程命令执行漏洞(CNVD-2022-23942,详细信息见https://www.cnvd.org.cn/webinfo/show/7541)。
攻击者利用该漏洞,可在未授权的情况下远程执行命令。目前,漏洞利用细节已大范围公开,CNVD对该漏洞的综合评级为“高危”。
Yonghong Z-Suite 部分版本使用了Spring框架,请尽快更新thirds.jar。
影响范围:v8.5-v9.4.1.1
解决方案:
1、v9.0-v9.4.1.1版本
更新thirds中的springframework到最新的5.3.18版本:
1)删除thirds.jar\org\springframework文件夹;
2)复制附件替换进thirds.jar。
2、v8.5-v8.8.3.1版本
永洪PSIRT正在加急处理中,解决后会第一时间通知。
