Open ghost opened 2 years ago
大佬,你好,我是@abbykimi,我IDE运行您这个项目的时候,提示有几个漏洞,项目调用了com.fasterxml.jackson.core:jackson-databind等75个开源组件,存在76个安全漏洞,建议你升级下。
漏洞标题:FasterXML jackson-databind 代码问题漏洞(axis2-jaxws gadget绕过) 漏洞编号:CVE-2018-14721 漏洞描述: FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。 FasterXML Jackson-databind 2.9.7之前的2.x版本中存在代码问题漏洞。远程攻击者可利用该漏洞执行服务器端请求伪造攻击。 国家漏洞库信息:https://www.cnvd.org.cn/flaw/show/CNVD-2019-15942 影响范围:[2.8.0, 2.8.11.3) 最小修复版本:2.8.11.3 引入路径: com.glaway:spring@1.0-SNAPSHOT->org.jasig.cas.client:cas-client-core@3.5.1->com.fasterxml.jackson.core:jackson-databind@2.8.8.1
另外75个漏洞 ,信息有点多我就不贴了,你自己看下完整报告:https://www.mfsec.cn/jr?p=i42b6f
如果你对这个issues有任何疑问可以回复我哈( @abbykimi ),我会及时回复你的。
done
@liusong-cn,同学,您好,上面的漏洞报告是我IDE运行时,安全插件提示您这个项目存在的几个漏洞的报告,辛苦您修复一下哈,担心其他人也会用到你这个项目,从而引入这些漏洞。:)
大佬,你好,我是@abbykimi,我IDE运行您这个项目的时候,提示有几个漏洞,项目调用了com.fasterxml.jackson.core:jackson-databind等75个开源组件,存在76个安全漏洞,建议你升级下。
另外75个漏洞 ,信息有点多我就不贴了,你自己看下完整报告:https://www.mfsec.cn/jr?p=i42b6f
如果你对这个issues有任何疑问可以回复我哈( @abbykimi ),我会及时回复你的。