我们目前是使用的是hutool,fastjson版本低于1.2.80版本均有远程漏洞问题,这些问题fastjson也有提出,具体参考:
security_update_20220523 · alibaba/fastjson Wiki · GitHub
但我们是直接使用的hutool,hutool底层恰好使用fastjson,又是那么的凑巧,fastjson的版本恰好就低于1.2.80,通过参考官网得出以下两种解决方法
1(简单快捷、但不推荐):-Dfastjson.parser.safeMode=true 加在启动命令中,例如java -jar xxxxx.jar -Dfastjson.parser.safeMode=true 是直接禁用掉autoType功能,但兼容问题仍需考虑,因此不推荐!
2(推荐):手动替换下lib包,这里我使用的是winRAR,首先先把jar包用winRAR打开进入lib下,即可看到目前jar包所有的lib包
在这些lib包中找到fastjson包删除,重新上传最新的fastjson.jar包(最新版>1.2.80即可),注意选择WinRAR压缩方式!!
此处必须选择存储格式,WinRAR会用自己的规则去压缩,如果不选择存储的话,可能会造成识别不出新传入的jar