Changjetong T+のバージョン16.xまでには、AjaxProエンドポイントに.NETのデシリアライズの脆弱性が含まれており、リモートコード実行につながる可能性があります。リモートの攻撃者は、悪意のあるJSONボディを含む細工されたリクエストを/tplus/ajaxpro/Ufida.T.CodeBehind._PriorityLevel,App_Code.ashx?method=GetStoreWarehouseByStoreに送信し、攻撃者が制御する.NET型のデシリアライズを利用して、System.Diagnostics.Process.Startなどの任意のメソッドを呼び出すことができます。これにより、T+アプリケーションサービスアカウントのコンテキストで任意のコマンドを実行できます。Shadowserver Foundationは2023年8月19日（UTC）に既にこの脆弱性の悪用の証拠を確認しています。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。