We read every piece of feedback, and take your input very seriously.
To see all available qualifiers, see our documentation.
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
1.6.1,1.6.0
H2
Fat Jar
No response
/root/app/halo.jar/BOOT-INF/lib/jackson-databind-2.12.6.1.jar:2.12.6.1
FasterXML jackson-databind是FasterXML的一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。 FasterXML jackson-databind 2.14.0-rc1之前版本存在代码问题漏洞。攻击者利用该漏洞导致资源耗尽。
或者请问一下我该怎么更新这个jar包呢
The text was updated successfully, but these errors were encountered:
方便提供一下关于 jackson 的漏洞链接么?目前 Spring Boot 2.x 还是使用的 2.14.x 之前的版本。
Sorry, something went wrong.
/triage needs-information
CVE编号 CVE-2022-42003 FasterXML/jackson-databind@d78d00e
方便提供一下关于 jackson 的漏洞链接么?目前 Spring Boot 2.x 还是使用的 2.14.x 之前的版本。 CVE编号 CVE-2022-42003 FasterXML/jackson-databind@d78d00e
感谢提供详细的信息!
不过 Halo 1.6 目前是基于 Spring Boot 2.5.x,jackson-databind 依赖也是 Spring Boot 管理的。刚刚仔细看了一下漏洞的详细信息,发现仅在开启了 UNWRAP_SINGLE_VALUE_ARRAYS 功能的才会受到影响,但 Spring Boot 官方默认是禁用了该功能,Halo 也并未开启过,因此不会受漏洞的影响。
UNWRAP_SINGLE_VALUE_ARRAYS
参考
感谢
No branches or pull requests
是什么版本出现了此问题?
1.6.1,1.6.0
使用的什么数据库?
H2
使用的哪种方式部署?
Fat Jar
在线站点地址
No response
发生了什么?
/root/app/halo.jar/BOOT-INF/lib/jackson-databind-2.12.6.1.jar:2.12.6.1
FasterXML jackson-databind是FasterXML的一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。
FasterXML jackson-databind 2.14.0-rc1之前版本存在代码问题漏洞。攻击者利用该漏洞导致资源耗尽。
或者请问一下我该怎么更新这个jar包呢
相关日志输出
No response
附加信息
No response
The text was updated successfully, but these errors were encountered: