当前位置: 首页 > 工具软件 > Transfer.Core > 使用案例 >

com.fasterxml.jackson.core:jackson-databind漏洞2.9.10.3版本以前的问题分析

楚骞尧
2023-12-01

1. 漏洞描述
近日,在github上的项目自检过程中发现jackson-databind2.9.10.3版本以前的漏洞
高危漏洞:

.FasterXML jackson-databind 2.0.0到2.9.10.2缺少某些xbean-reflect / JNDI阻止,如org.apache.xbean.propertyeditor.JndiConverter所示。
.2.9.10.2之前的FasterXML jackson-databind 2.x缺少某些net.sf.ehcache阻止。

中度漏洞:

 a.2.9.10.4之前的FasterXML jackson-databind 2.x错误地处理了与javax.swing.JEditorPane有关的序列化小工具和键入之间的交互。
b.,与org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig(也称为带阴影的hikari-config)相关的2.9.10.4之前的FasterXML jackson-databind 2.x错误地处理了序列化小工具和键入之间的交互。
c.2.9.10.4之前的FasterXML jackson-databind 2.x处理与org.apache.commons.jelly.impl.Embedded(aka commons-jelly)相关的序列化小工具和键入之间的交互。
d..2.9.10.4之前的FasterXML jackson-databind 2.x错误地处理了与org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory(aka aries.transaction.jms)相关的序列化小工具和键入之间的交互。

解决方案:
因为用的阿里maven没有补丁。自己找

将com.fasterxml.jackson.core:jackson-databind升级 到2.9.10.4版 或更高版本。例如:

< 依存关系 >
  < groupId > com.fasterxml.jackson.core </ groupId >
  < artifactId > jackson-databind </ artifactId >
  < 版本 > [2.9.10.4,)</ 版本 >
</ 依赖 >
 类似资料: