Am 19. Februar gab NVD einen Sicherheitshinweis heraus, in dem die Sicherheitslücke bezüglich Remotecodeausführung (CVE-2020-8840) in jackson-databind durch JNDI-Injection mit einem CVSS-Score von 9,8 offengelegt wurde. Der betroffenen Version von jackson-databind fehlen bestimmte xbean-reflect/JNDI-Blacklist-Klassen, wie z. B. org.apache.xbean.propertyeditor.JndiConverter, was dazu führen kann, dass Angreifer JNDI-Injection verwenden, um eine Remotecodeausführung zu erreichen. Derzeit hat der Hersteller eine neue Version veröffentlicht, um die Schwachstellenbehebung abzuschließen.
2.9.10.6, muss die Jackson-Version aktualisiert werden.
Relevante Benutzer werden gebeten, zum Schutz rechtzeitig ein Upgrade durchzuführen.
Da die im Projekt verwendete Springboot-Version 2.1.3 ist und die integrierte Jackson-Version 2.9.8 ist, was niedriger ist als die sichere Version
Ändern Sie die Jackson-Version in Springboot.
Das obige ist der detaillierte Inhalt vonSo lösen Sie das Problem der Angabe der Jackson-Version beim SpringBoot-Upgrade. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!