写在前面 影响范围为XStream < 1.4.14,小版本也需要加黑名单，但是复现过程中只有所有常规版本和下图红标小版本复现成功： 另外还需要XPP3、xmlpull这两个jar包，JDK ...

写在前面 复现时发现不需要通过baseConfigSet基于恶意配置创建新的配置即可完成复现，并不是很多文章说需要二次创建恶意配置，有师傅也表达了自己的疑问，后面再单独写分析的文章，这篇在草稿箱躺太 ...