【F-28344】【10.0.104】SnakeYAML 资源管理错误漏洞

收藏

本帖最后由 Grayson.Shang 于 2025-4-30 10:56 编辑

我新发布了一个应用，使用的是腾讯云服务器，上线一周后，腾讯云服务器提示我“SnakeYAML 资源管理错误漏洞”，威胁等级：高危。经咨询云服务器供应商的技术人员，他们告知，有可能是软件问题。我想知道出现这种情况，活字格是否有相应的解决办法？

Grayson.Shang · Grayson.Shang

大佬您好，咱们是否可以发一下这个漏洞的详细的提示信息，丛咱们的描述上暂时不好推断是什么原因导致的这个报错。
不了解报错的详细信息，我们也不好定位问题出在哪一个环节上，是设计器本身，还是某些插件存在问题

厚德载物 · 厚德载物

Grayson.Shang 发表于 2025-4-30 09:13
大佬您好，咱们是否可以发一下这个漏洞的详细的提示信息，丛咱们的描述上暂时不好推断是什么原因导致的这个 ...

Grayson.Shang · Grayson.Shang

大佬您好，这个问题调查出来有结果了，是活字格工作流中，引用的第三方包存在安全隐患，问题已记录，编号：F-28344，这个bug会在后续的版本中修复。

Grayson.Shang · Grayson.Shang

为了现在可以临时解决这个问题，可以帮咱们先尝试将这个bug修复，生产一个流程的一个临时的jar，咱们替换一下，看看能不能解决这个问题，您看可以不。

厚德载物 · 厚德载物

Grayson.Shang 发表于 2025-4-30 10:58
为了现在可以临时解决这个问题，可以帮咱们先尝试将这个bug修复，生产一个流程的一个临时的jar，咱们替换一 ...

可以啊！非常感谢！
不过我不是很专业，具体应该怎么做，还需要您进一步指导！

Grayson.Shang · Grayson.Shang

修复这个问题的Jar包，我会通过邮件发送，具体发送的邮件为：darw****@****boya.com。

附件中有一个压缩包，解压，解压后可以看到两个jar包

这两个jar包，只替换服务器安装路径的文件，不替换设计器的路径。
1、第一个“adapter-server-start.jar”，具体替换的路径为：

...\ForguncyServer\WebSite\javaAdapterServerBin

2、第二个“bpm-server-1.0.0.jar”，具体替换的路径为：

...\ForguncyServer\WebSite\bpmJavaServerBin

服务器的默认安装路径：
Windows：D:\Program Files
Linux：/opt

在替换这两个jar包前，有两个注意事项
1、可以先将原来的jar包，复制一份，备份到其他问题，若是替换完这两个jar后出现问题，也可以重新恢复回来。
2、替换之前，先将活字格服务器停止掉，等替换完成之后，再重启一下服务器

厚德载物 · 厚德载物

Grayson.Shang 发表于 2025-5-6 09:23
修复这个问题的Jar包，我会通过邮件发送，具体发送的邮件为：darw****@****boya.com。

附件中有一个压缩 ...

非常感谢！我这几天试一下

Grayson.Shang · Grayson.Shang

好的，有什么问题，也可以继续在帖子中跟进。

		自动登录	找回密码
密码			立即注册

[处理中] 【F-28344】【10.0.104】SnakeYAML 资源管理错误漏洞

8 个回复

本帖子中包含更多资源

本帖子中包含更多资源

Wyn高级认证

Wyn认证

活字格认证

活字格高级认证