近日，我司监测到Blitz.js发布安全公告，修复了一个存在于Superjson中的远程代码执行漏洞。SuperJson 1.8.1之前的版本中存在原型污染漏洞，成功利用此漏洞可在未经身份验证的情况下在目标服务器上远程执行任意代码。由于Blitz.js的RPC层中使用了Superjson，因此该漏洞也影响了Blitz.js 框架。

SuperJson是一个Json解析器和生成器，其设计遵循无语言特性，可以用任何编程语言实现;Blitz.js是一个全栈 React Web 框架，基于 Next.js 构建。

影响版本：

• Superjson(npm) < 1.8.1
• Blitz.js(npm) < 0.45.3

安全版本：

• Superjson(npm) >= 1.8.1
• Blitz.js(npm) >= 0.45.3

修复建议：

官方已发布安全版本，请及时下载更新，下载地址：

Superjson：https://github.com/blitz-js/superjson

Blitz.js：https://github.com/blitz-js/blitz