关于IM私有化的fastjson反序列化漏洞

一、漏洞描述

IM使用fastjson-1.2.83.jar，存在FastJson反序列化漏洞；攻击者可通过漏洞接口访问外部恶意代码造成rce。攻击者可以通过payload，使用DNSLog回显识别fastjson版本，在版本范围内进行RCE攻击。

二、影响版本

友空间IM服务

三、修复方案

升级fastjson版本，因为yms.jar自带fastjson2.0.2版本，im核心服务也升级到fastjson-2.0.2.jar。

该补丁必须基于0630SP，才能安装该补丁

制品名称：iuap-im_iuap-im-core_iuap.V6.R2_2302_24_QP20230724-1

制品编码：0792997f_patch_QP_20230724-1_iuap-im

https://yonyoucloud-developer-center-app.diwork.com/ypr/ypr-release/Patch/iuap-im_patch/0792997f/20230724-1/iuap-im_iuap-im-core_iuap.V6.R2_2302_24_QP20230724-1.tar.gz?Expires=1690266978&OSSAccessKeyId=LTAI5tFTEh52HwzcLJdf1cPh&Signature=cGrMJHwbvvlCgJryW7QfjJOJdhA%3D