Bagaimana untuk menyelesaikan masalah menentukan versi jackson dalam peningkatan SpringBoot
- 王林ke hadapan
- 2023-05-12 14:13:352505semak imbas
【Notis Kerentanan】
Pada 19 Februari, NVD mengeluarkan notis keselamatan yang mendedahkan pelaksanaan kod jauh
kerentanan (CVE-2020-8840) dalam jackson-databind yang disebabkan oleh suntikan JNDI. Skor CVSS ialah 9.8. Disebabkan kekurangan
kelas senarai hitam xbean-reflect/JNDI tertentu, seperti org.apache.xbean.propertyeditor.JndiConverter, dalam versi jackson-dabind yang terjejas,
mungkin membenarkan penyerang menggunakan suntikan JNDI untuk melaksanakan pelaksanaan kod jauh. Pada masa ini, pengeluar telah mengeluarkan versi baharu untuk menyelesaikan pembaikan kerentanan
Pengguna yang berkaitan diminta untuk meningkatkan dalam masa untuk perlindungan.
Memandangkan versi Springboot yang digunakan dalam projek ialah 2.1.3 dan versi jackson terbina dalam ialah 2.9.8, yang lebih rendah daripada versi selamat
2.9.10.6, jadi jackson versi perlu dinaik taraf.
Ubah suai versi jackson dalam Springboot
Tambahkan atribut jackson.version di bawah teg sifat dalam pom.xml projek
<jackson.version>2.11.0</jackson.version>
Jika anda hanya mahu mengubah suai versi jackson-databind, tambahkan atribut jackson.version.databind
<jackson.version.databind>${jackson.version}</jackson.version.databind>Atas ialah kandungan terperinci Bagaimana untuk menyelesaikan masalah menentukan versi jackson dalam peningkatan SpringBoot. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!