【关联漏洞代码】

QVD-2022-7654

【漏洞参考说明】

关于fastjson出现反序列化远程代码执行漏洞的通知 (baidu.com)

【前置条件】

星空服务器使用JDK版本至少为1.8及以上。如不确定，请使用命令窗口执行以下命令查询：java -version

【影响范围】

金蝶云星空私有云部署，使用零售云-多端POS系统的客户环境

【解决方案】

1、确认是否已启用零售：

使用系统管理员登录星空，打开基础管理-公共设置-参数设置，选择零售管理-门店收银，查看基本参数设置是否启用零售特性。如已启用则执行后续步骤，否则不用处理。

2、fastjson文件升级（升级包见文后附件）

将/K3Cloud/RetaiKtmSite/WEB-INF/lib/fastjson-旧版本号.jar（比如下图的fastjson-1.2.21.jar）文件，使用fastjson-1.2.83.jar进行替换。（请先解压zip文件）

3、重启K3CloudTomcatService服务