关联漏洞代码】

QVD-2022-7654

【漏洞参考说明】

关于fastjson出现反序列化远程代码执行漏洞的通知 (baidu.com)

【前置条件】

星空服务器使用JDK版本至少为1.8及以上。如不确定,请使用命令窗口执行以下命令查询:java -version

【影响范围】

金蝶云星空私有云部署,使用零售云-多端POS系统的客户环境

【解决方案】

1、确认是否已启用零售:

使用系统管理员登录星空,打开基础管理-公共设置-参数设置,选择零售管理-门店收银,查看基本参数设置是否启用零售特性。如已启用则执行后续步骤,否则不用处理。

金蝶云星空安全漏洞修复公告-编程日记

2、fastjson文件升级(升级包见文后附件)

将/K3Cloud/RetaiKtmSite/WEB-INF/lib/fastjson-旧版本号.jar(比如下图的fastjson-1.2.21.jar)文件,使用fastjson-1.2.83.jar进行替换。(请先解压zip文件)

金蝶云星空安全漏洞修复公告-编程日记

3、重启K3CloudTomcatService服务

金蝶云星空安全漏洞修复公告-编程日记