开源框架及组件存在的bug集合-切记不要在生产环境中使用

我们的项目已经全部测试通过，并且已经上线到了生产环境，并且已经平稳运行了一段时间了。辛苦了大半年，本想着万事大吉，可以放松吃鸡。
但是突然接到上级领导发布的消息：
“你们用到了xxxx框架或组件吗，如果用到了必须改掉，或升级到最新版本！”
例如这次的jcakson低版本存在重大问题，我们生产上用的1.9.13，领导要我们直接升级到2.9.9。如果要改，涉及到几乎所有服务都要改，系统变动非常大，整个系统需要重新测试，重新上线！

遂记本文，也希望大家不要犯同样的问题。
大家可以关注本文，后期如果还有同样的问题，我也会更新到本文中。
同时欢迎大家在评论区留言讨论。

1、Fastjson存在的bug

• （1） 问题描述
  攻击者可以利用该漏洞绕过黑名单策略进行远程代码执行
  参考：https://www.cnblogs.com/chaos-li/p/11139992.html
• （2） 影响范围
  FastJSON 1.2.30及以下版本
  FastJSON 1.2.41至1.2.45版本
• （3） 解决办法
  升级至FastJSON最新版本，建议升级至1.2.58版本。
  并且即使升级到了该版本，也不要使用如下代码（如果用到了必须删除）

ParserConfig.getGlobalInstance().setAutoTypeSupport(true);

2、Shiro存在的bug

• （1） 问题描述
  反序列化攻击，远程安全限制绕过漏洞
  参考：https://www.cnblogs.com/loong-hon/p/10619616.html
• （2） 影响范围
  Shiro 1.2.4及以下版本
• （3） 解决办法
  升级至Shiro最新版本，建议升级到1.4.0最新版本。
  并且最好禁用rememberMe功能

3、Struts存在的bug

• （1） 问题描述
  服务器受到拒绝服务攻击和被执行恶意代码
  参考：https://blog.csdn.net/jizhang05292/article/details/60776832
• （2） 影响范围
  Struts 2.3.5 - Struts 2.3.31,
  Struts 2.5 - Struts 2.5.10
• （3） 解决办法
  升级至Struts最新版本，建议升级到2.5.18最新版本。

4、Jcakson存在的bug

• （1） 问题描述
  远程代码执行漏洞
  参考：http://blog.nsfocus.net/cve-2017-17485-solution/
• （2） 影响范围
  2.9.3、2.7.9.1、2.8.10及之前的版本
• （3） 解决办法
  升级至Jcakson最新版本，建议升级到2.9.9最新版本。

来源：https://blog.csdn.net/tiandixuanwuliang/article/details/99543322