Skip to content

同学,您这个项目引入了168个开源组件,存在110个漏洞,辛苦升级一下 #10

New issue
New issue
Open
Open
同学,您这个项目引入了168个开源组件,存在110个漏洞,辛苦升级一下#10
@dependasec

Description

@dependasec
dependasec
bot
opened on Mar 15, 2022

检测到 hurleychin/java-practice 一共引入了168个开源组件,存在110个漏洞

漏洞标题:FasterXML jackson-databind 代码问题漏洞
缺陷组件:com.fasterxml.jackson.core:jackson-databind@2.8.9
漏洞编号:CVE-2018-7489
漏洞描述:FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。
FasterXML Jackson-databind 2.8.11.1之前版本和2.9.5之前的2.9.x版本中存在代码问题漏洞。远程攻击者可通过向ObjectMapper的readValue方法发送恶意制作的JSON输入利用该漏洞执行代码。
国家漏洞库信息:https://www.cnvd.org.cn/flaw/show/CNVD-2018-05906
影响范围:[2.7.0, 2.8.11.1)
最小修复版本:2.8.11.1
缺陷组件引入路径:com.evil:spring-boot@0.0.1-SNAPSHOT->io.jsonwebtoken:jjwt@0.9.0->com.fasterxml.jackson.core:jackson-databind@2.8.9

另外还有110个漏洞,详细报告:https://mofeisec.com/jr?p=aa76b5

Metadata

Metadata

Assignees

No one assigned

    Labels

    No labels
    No labels

    Projects

    No projects

    Milestone

    No milestone

    Relationships

    None yet

    Development

    No branches or pull requests

    Issue actions