紧急安全通告：修复CommonFun.lua中deserialize函数的远程代码

法海不懂爱 · 发表于 4 天前

本帖最后由法海不懂爱于 2025-5-30 20:05 编辑

紧急安全通告：修复CommonFun.lua中deserialize函数的远程代码执行漏洞
各位开发者：

我们发现在所有版本的Lua脚本中，CommonFun.lua文件的deserialize函数存在高危安全漏洞，可能导致远程代码执行风险。为确保系统安全，请立即执行以下修复方案。

漏洞说明

风险等级：严重
影响范围：所有使用CommonFun.lua的系统
漏洞详情：deserialize函数存在远程代码执行风险
特别说明：未使用Lua自定义通讯执行deserialize的系统可忽略此漏洞

解决方案
临时解决方案（推荐）
[方案1] 使用纯Lua JSON库：

[推荐] Rxi/json.lua（https://github.com/rxi/json.lua）
[推荐] Dkjson（https://github.com/LuaDist/dkjson）
Json-lua等

[方案2] 使用自定义字符串分割：

利用CommonFun.lua中的strSplit函数
参考客户端itemInfo.getState中的getValue方法实现

终极解决方案

下个版本将引入高性能的cjson库
彻底解决安全风险并提升性能

教程（以Rxi/json.lua为例）
第一步：下载Rxi/json.lua，附件已提供
[客户端目录结构]

专属目录/
└── lua/
└── main/
└── json.lua（新增文件）

复制代码

[服务端目录结构]

Mirserver/
└── Mir200/
└── LuaScripts/
└── System/
└── json.lua（新增文件）

复制代码

第二步：修改CommonFun.lua文件
[服务端修改代码]

-- 在文件顶部添加
local json = require("System\\json")
-- 替换原有函数
function serialize(obj)
return json.encode(obj)
end
function deserialize(text)
return json.decode(text)
end

复制代码

[客户端修改代码]

-- 在文件顶部添加
local json = require("main\\json")
-- 替换原有函数
function serialize(obj)
return json.encode(obj)
end
function deserialize(text)
return json.decode(text)
end

复制代码

注意事项
客户端和服务端必须同时修改
修改完成后请重启应用或重载客户端和服务端的lua
验证序列化/反序列化功能是否正常

綺梦朵朵 · 发表于 4 天前

秦皇部落 · 发表于 4 天前

果然应对的好快

秦皇部落 · 发表于 4 天前

提个建议能否提高单次netmsg传输的字符长度 1w有点不够频率GM自己把控就好

传奇的新手 · 发表于 3 天前

我弱弱问下是不是拔附件下载下把lua文件复制进去就可以了

为你而来 · 发表于 3 天前

[公告] 紧急安全通告：修复CommonFun.lua中deserialize函数的远程代码

本帖子中包含更多资源