关键漏洞信息 漏洞描述 在 库中,存在一个 不安全的反序列化漏洞,可能导致远程代码执行 (RCE)。 漏洞修复细节 修复措施 新增方法: 通过添加 方法来限制允许反序列化的类。 安全性建议: - 警告: 不要传递不可信数据到 方法,除非预先通过 方法显式允许。 - 反序列化时,仅允许在白名单中的类被实例化,防止攻击者指定的恶意类执行危险操作。 技术实现 类限制反序列化: - - 使用默认行为,允许所有已知类反序列化。 - - 问题包含空的 JSON 字段值引发异常,阻止所有类实例化。\[] - - 限制仅允许指定的类列表被实例化。 示例代码修复 添加示例代码中显式设置允许反序列化的类。 测试情况 新增测试: - : 验证方法链返回 。 - 和 : 验证默认行为和允许类的例子。 - 和 : 检查禁止未列出类和危险方法。 适用范围 修复版本适用于 版本 3.2.3 及以上。