Closed tryantdb closed 1 month ago
我已经将fastjson相关代码都删了,但justauth里还是有,至于项目版本号就不升了,不知道升了后会不会有什么奇怪的bug产生。
如果你用不到第三方登录,可以打开pom.xml搜到justauth依赖位置,按照注释将fastjson给排除掉即可
<!-- JustAuth 第三方统一登录组件 -->
<dependency>
<groupId>me.zhyd.oauth</groupId>
<artifactId>JustAuth</artifactId>
<version>${justauth.version}</version>
<!-- 如果用不到第三方登录,可以将下面这个注释掉的 exclusions 打开,将justauth里用到的fastjson排队掉,这样就不会报漏洞了 -->
<!--<exclusions>
<exclusion>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
</exclusion>
</exclusions>-->
</dependency>
来自阿里云漏洞扫描告警。 漏洞引入来源: