解决方案
1、关闭java rmi服务的端口在公网的开放;
2、下载SerialKiller临时补丁,这个jar后放置于classpath,将应用代码中的java.io.ObjectInputStream替换为SerialKiller,之后配置让其能够允许或禁用一些存在问题的类,SerialKiller有Hot-Reload,Whitelisting,Blacklisting几个特性,控制了外部输入反序列化后的可信类型
例如:采用下载SerialKiller补丁,将IDoc2PdfUtilService接口的doc2Pdf代码中的java.io.ObjectInputStream替换为SerialKiller;
3、在不影响业务的情况下,临时删除掉项目里的InvokerTransformer.class文件;
4、对WebLogic、Apache、JBoss等中间件进行升级。