关键信息 1. 漏洞类型 2. 漏洞描述 问题: 序列化消息使用了延迟传输的 传输,导致序列化队列消息接受除了 类之外的相关类。解序列化中存在的安全措施完全没有效果。 修复: 修复后,所有显式允许的类现在正确配置为 命令。但在当前实施的各种范围相关类中,很难列出所有允许的类。 改进: 引入新的 组件,通过检查序列化负载来限制解序列化。 3. 漏洞影响版本 4. 补丁详情 提交ID: 提交者: 提交时间: 5. 安全更新 6. 已修改文件 实际改动的代码未完全给出,但从上述描述中可以看到,主要是为了防止通过序列化/反序列化操作注入恶意代码,增强了安全性和检测能力。