Delphinidae

漏洞：fastjson 远程代码执行漏洞漏洞原因：fastjson在执行反序列化时加载数据被注入，注入的数据被解析执行导致任意命令执行。漏洞历史：现在fastjson的版本已经到了1.2.73了，但是历史上高危漏洞频繁出现。如：1.2.24 出的反序列漏洞，经过对类的黑名单限制和autotype的关闭、checkautotype等，还是还被绕过限制，如：1.2.47，1.2.68 的漏洞，都是绕过限制加载恶意的类并造成远程代码执行的高危漏洞。漏洞复现：复现版本是1.2.47。漏洞复现github上

**需求：**公司pc机安全策略限制了通过GUI方式配置环境变量，开发环境需要配置环境变量通过cmd命令完成。**实例：**1 配置JAVA环境的系统变量并添加PATH2 配置MAVEN环境的系统变量并添加PATH1 JAVA的JDK环境变量配置首先下载JDK包解压到相应位置，（exe的安装包默认安装配置的的是jre的环境变量，在编译时不能满足要求，jemter等软件使用时可以满足要求的）用setx命令（别用set命令，环境变量配置覆盖后引来很多麻烦）需要两步setx JAVA_HOME "C:

问题：mvn -e clean package报错log：[ERROR] Failed to execute goal org.apache.maven.plugins:maven-compiler-plugin:3.1:compile (default-compile) on project SecLogProcess: Compilation failure[ERROR] No compiler is provided in this environment. Perhaps you are ru