项目引用了com.alibaba:fastjson等128个开源组件，存在15个漏洞，建议升级

[ghost]

大佬，你好，我是@abbykimi，我IDE运行您这个项目的时候，提示有几个漏洞，项目调用了com.alibaba:fastjson等128个开源组件，存在15个安全漏洞，建议你升级下。

漏洞标题：Fastjson <=1.2.68 远程代码执行漏洞
漏洞编号：
漏洞描述：
Fastjson 是Java语言实现的快速JSON解析和生成器，在<=1.2.68的版本中攻击者可通过精心构造的JSON请求，远程执行恶意代码。
漏洞原因：
Fastjson采用黑白名单的方法来防御反序列化漏洞，导致当黑客不断发掘新的反序列化Gadgets类时，发现在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制，造成远程命令执行漏洞。
国家漏洞库信息：https://www.cnvd.org.cn/flaw/show/CNVD-2020-30827
影响范围：(∞, 1.2.69)
最小修复版本：1.2.69
引入路径：
com.my.liufeng.test:product@1.1.0->com.alibaba.cloud:spring-cloud-starter-alibaba-seata@2.2.3.RELEASE->io.seata:seata-spring-boot-starter@1.3.0->io.seata:seata-all@1.3.0->com.alibaba:fastjson@1.2.60

另外14个漏洞 ，信息有点多我就不贴了，你自己看下完整报告：https://www.mfsec.cn/jr?p=i214ef

如果你对这个issues有任何疑问可以回复我哈( @abbykimi )，我会及时回复你的。

[liufeng82012016]

应该是seata 1.3.0的依赖导致 本项目仅限于学习使用，暂无升级打算。如有需要，可自行升级seata版本或者fastJson的版本