使用的jackson-databind存在代码问题漏洞 #2796
Labels
triage/needs-information
Indicates an issue needs more information in order to work on it.
Comments
|
方便提供一下关于 jackson 的漏洞链接么?目前 Spring Boot 2.x 还是使用的 2.14.x 之前的版本。 |
|
/triage needs-information |
f2c-ci-robot
bot
added
the
triage/needs-information
|
感谢提供详细的信息! 不过 Halo 1.6 目前是基于 Spring Boot 2.5.x,jackson-databind 依赖也是 Spring Boot 管理的。刚刚仔细看了一下漏洞的详细信息,发现仅在开启了 参考 |
|
感谢 |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
是什么版本出现了此问题?
1.6.1,1.6.0
使用的什么数据库?
H2
使用的哪种方式部署?
Fat Jar
在线站点地址
No response
发生了什么?
/root/app/halo.jar/BOOT-INF/lib/jackson-databind-2.12.6.1.jar:2.12.6.1
FasterXML jackson-databind是FasterXML的一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。
FasterXML jackson-databind 2.14.0-rc1之前版本存在代码问题漏洞。攻击者利用该漏洞导致资源耗尽。
或者请问一下我该怎么更新这个jar包呢
相关日志输出
No response
附加信息
No response
The text was updated successfully, but these errors were encountered: