截止2022年3月31日，官方已发布安全版本5.3.18/5.2.20修复该漏洞。

(一) WAF 防护
在 WAF 等网络防护设备上，根据实际部署业务的流量情况，实现对"class.*","Class.*",".class.*","*.Class.*"等字符串的规则过滤，并在部署过滤规则后，对业务运行情况进行测试，避免产生额外影响。

(二) 临时修复措施（未验证，慎用）

可按照以下措施进行缓解，两步需同时进行，且使用时请根据自身业务情况进行调整:

1、在应用中全局搜索@InitBinder注解，看看方法体内是否调用dataBinder.setDisallowedFields方法，如果发现此代码片段的引入，则在原来的黑名单中，添加{"class.*","Class. *","*. class.*", "*.Class.*"}。 (注:如果此代码片段使用较多,需要每个地方都追加)

2、在应用系统的项目包下新建以下全局类，并保证这个类被Spring 加载到(推荐在Controller 所在的包中添加).完成类添加后，需对项目进行重新编译打包和功能验证测试。并重新发布项目。
import org.springframework.core.annotation.Order;
import org.springframework.web.bind.WebDataBinder;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.InitBinder;
@ControllerAdvice
@Order(10000)
public class GlobalControllerAdvice{
@InitBinder
public void setAllowedFields(webdataBinder dataBinder){
String[]abd=new string[]{"class.*","Class.*","*.class.*","*.Class.*"};
dataBinder.setDisallowedFields(abd);
}
}

(三) 升级官方安全版本 >= 5.3.18/5.2.20