漏洞概述 该漏洞涉及在反序列化过程中,某些“setterless”创建器属性(即没有setter方法的属性)被 注解的setter方法跳过,导致这些属性无法正确反序列化。具体问题是,当使用 注解的setter方法时,反序列化器不会递归注册这些属性,从而导致反序列化失败。 影响范围 受影响版本:jackson-databind 3.2.0 到 3.1.4 影响组件: 类中的 方法 影响场景:在使用 注解的setter方法时,反序列化器无法正确处理“setterless”创建器属性 修复方案 1. 代码修改: - 在 类的 方法中,添加了对 注解的setter方法的特殊处理,确保这些属性能够被正确反序列化。 - 具体修改如下: 2. 测试用例: - 添加了新的测试用例 ,用于验证修复后的行为。 - 测试用例包括: - :验证在 下, 属性能够正确反序列化。 - :验证在 下, 属性能够正确反序列化。 - :验证在 下, 属性能够正确反序列化。 POC代码 以下是测试用例中的关键代码块: 总结 该漏洞通过修改 类中的 方法,并添加相应的测试用例,确保了在使用 注解的setter方法时,反序列化器能够正确处理“setterless”创建器属性。