1）下载与当前大版本相同的commons-collections包（原来是3.2.x就替换为3.2.2，原来是4.x就替换为4.4.1）

下载链接：

 

 

2）解压出其中的commons-collections-x.x.x.jar

 

 

3）找到domain对应目录下的commons-collections.*.jar（*表示空或版本号）对其进行备份

 

4）上传新下载的commons-collections-x.x.x.jar，替换找到的commons-collections.*.jar（名称改成和ommons-collections.*.jar原来的一样）

 

5）使用上传的commons-collections-x.x.x.jar，替换$WEBLOGIC_HOME/modules文件夹下的com.bea.core.apache.commons.collections_x.x.x.jar（名称和原来一样）

 

6）重启集群生效（控制台和受控server）

 

说明：

1.commons-collections-4.4.1.jar对InvokerTransformer.class中的漏洞进行了修复，commons-collections-3.2.2.jar只是将InvokerTransformer.class标志为不安全函数默认不启用。

2.weblogic可能是先在自己的modules文件夹下找有没有需要的java包，然后再到应用文件夹中找是否有相应jar包，所以4）和5）都需要做（反之可能只做5）就行，没试过）。