漏洞关键信息总结 漏洞概述 漏洞原理:当序列化一个特殊构造的"类数组"对象(继承自 但具有非常大的 属性)时,进程会进入密集循环,导致100% CPU占用并无限挂起。 影响范围 高危场景: 使用 序列化不受信任或用户控制的对象 同时存在 原型链污染(Prototype Pollution) 漏洞的应用 通过 YAML 反序列化处理不受信任数据的应用(可能被用于注入恶意对象) 修复方案 官方修复 升级至 v7.0.5 或更高版本 修复方式:将 检查替换为 ,并使用 进行稀疏数组检测。 临时缓解措施(无法立即升级时) 1. 对传入 函数的所有输入进行验证和清理 2. 确保环境已防护原型链污染攻击 3. 尽快升级至 v7.0.5 --- 注:页面中未包含POC代码或利用代码。