Sonatype Nexus IQ Server component scan指出Jackson-Databind版本2.9.9库存在编码为sonatype-2017-0312的漏洞问题。jackson-databind易受远程代码执行(RCE)攻击。远程攻击者可以通过上载恶意序列化对象来攻击此漏洞,如果应用程序试图对其进行反序列化,该对象将导致RCE。我试过使用redhat版本的Jackson-databind和sonatype推荐的不同类型,但最后我们现在面对的是jackson-da
浏览 46提问于2019-06-16得票数 1
我用我们的twistcli(Prisma Cloud)扫描了最新版本的无穷大14.0.2,发现了一些漏洞:| CVE-2022-42004 | high | 7.50 | com.fasterxml.jackson.core_jackson-databind------------------------+------------------
浏览 18提问于2022-11-29得票数 -2
由于安全漏洞,我们的组织要求我们不要在我们的应用程序中使用jackson-databind,请让我知道是否有任何其他的jar可以替代jackson-databind。
浏览 64提问于2019-02-28得票数 2
Jackson的Spring Boot 2.1.1托管版本是2.9.7,它被Jackson 2.9.8所取代。我们的构建报告了与旧版Jackson相关的可利用漏洞。
浏览 3提问于2019-01-05得票数 0
我已经尝试过所有版本的jackson-databind (包括whitesource上建议的版本),但是所有的jackson版本都显示了whitesource扫描中的漏洞。注意:我使用的是jackson-databind依赖项,所以不能在pom.xml中排除它。
浏览 19提问于2022-03-17得票数 2
我试图将org.apache.htrace.shaded.fasterxml.jackson排除在htrac-core4-4.1.0-孵化器之外。 <artifactId>jackson-databind</artifactId> </exclusions><dependency>
&l
浏览 31提问于2022-01-06得票数 2
由于Jackson Databind漏洞,一个已经持续了一段时间的传奇故事,我们的安全团队要求我们完全从Jackson库转移到Gson。我们成功地完成了这项工作,但现在我们了解到Spring本身对Jackson有一个运行时依赖。因此,除非我们能够识别并移除这种依赖,否则我们可能会被要求完全远离Spring。有没有办法从Spring框架中消除对Jackson的依赖,如果没有,我们真的有风险吗?如果我们没有风险,我们如何向我们的安全团队证明这一点?
浏览 7提问于2018-12-16得票数 0
我知道以前有人问过这个问题,但我得到了以下错误,由于漏洞扫描,我需要升级与jackson相关的jar at com.fasterxml.jackson.module.scala.JacksonModule:jackson-databind:2.9.5'
resoluti
浏览 4提问于2018-04-05得票数 0
1回答
是否有可能创建小工具链,在运行时将jackson重新配置为不安全配置?如果你能找到一条导致X的小工具链(比如X1 -> X2 -> X),那么你就会发现X1 -> X2 -> X -> Y。甚至因为X1 -> X2 -> X都是正确的修补程序,而实际上,如果可以将任何漏洞分解成一系列的小工具,那么我们总是处于危险之中,因此我们的大部分安全
浏览 0提问于2019-06-10得票数 0
在其中,我捆绑了jackson-databind-2.10.1、httpclient-4.5.4。我的客户运行了一些安全扫描,在jackson-databind-2.10.1,httpclient-4.5.4中发现了一些漏洞。我需要使用jackson-databind-2.11.3,httpclient-4.5.13(升级版本)向客户端发送一个新的x.jar。应该采用什么方法,而不是另一个构建?因此,我使用winRAR工具替换了x.jar中的META-INF\maven\com.fasterxml.jackson<
浏览 5提问于2021-11-13得票数 0
spring应用程序的Prisma扫描显示jackson-dataformat-cbor版本2.11.0中存在漏洞。但此版本的cbor在应用程序中不存在。但是只有2.13.0-rc1版本的jackson-dataformat-cbor存在,而不是2.11.0。
有人知道这是怎么回事吗?
浏览 0提问于2021-07-20得票数 2
引言因此,为了通过这个关键的漏洞,我已经在我们的Dockerfile中实现了下面的代码片段,我主要是作为一个测试来完成的,我几乎没有希望它真的能工作。RUN rm -r /opt/jboss/wildfly/modules/system/layers/base/com
浏览 4提问于2019-10-07得票数 0
回答已采纳
我无法在线找到与Spring应用程序一起使用的、没有远程执行漏洞的jackson数据库的哪个版本?任何帮助都是非常感谢的。
浏览 10提问于2019-11-07得票数 0
回答已采纳
1回答
我正在使用下面的代码对JSON进行消毒,但是在从Fortify进行扫描时,我仍然得到了JSON注入,您能帮我解决问题吗?或者这不是问题,可能是抑制。我也注意到了同样的问题,但这些问题并不能解决我的问题。我的问题是,在将JSON转换为java对象之前,我正在清理JSON,但仍然会在fortify中得到JSON注入错误。 MonerisPaymentDetailsObject paymentObject = null;
if(null!=jsonRequest &a
浏览 3提问于2020-06-19得票数 5
我正在努力确保我以一种安全的方式使用spring-boot和Jackson。在杰克逊的一些版本中有一个反序列化错误(来源:)。默认情况下,Spring Security不会使用Jackson执行反序列化,因此这是用户的显式选择(来源:)。如果使用Jackson执行反序列化,则2.7、2.8、2.8.9和2.7.9.1版本以及2.9.0.pr3版本都会打上补丁(来源:请参阅4月13日在上发表的评论),不会受到该漏洞的攻击。那么使用作为spring、spring-boot或Spring Security一部分的Jack
浏览 12提问于2017-12-08得票数 1
回答已采纳
我想修复用spring创建的项目中的漏洞。Vulnerable module: com.fasterxml.jackson.core:jackson-databind
浏览 7提问于2019-05-29得票数 1
1回答
如何排除级依赖关系
、、、、
我目前有一个项目,我已经对其进行了水扫描,它确定了我目前使用的jackson-databind-2.9.8.jar作为一个关键漏洞,并建议我用2.10版本替换。+显示在gradle依赖项列表中,并且显然带来了导致问题的2.9.8 jar: }
我还删除了我以前在build.g
浏览 5提问于2020-06-08得票数 4
回答已采纳
我将我的jackson-databind maven reference从2.9.9.3升级到2.10.0,以克服一些安全漏洞。<properties> <fasterxml-jackson-databind.version:2.10.0, com.fasterxml.jackson.core:<e
浏览 148提问于2019-10-03得票数 1
Unrecognized token 'nul': was expecting 'null', 'true', 'false' or NaN;
nested exception is com.fasterxml.jackson.core.JsonParseException
浏览 0提问于2019-01-22得票数 2
回答已采纳
artifactId>spring-boot-starter-parent</artifactId></parent>
对fortify相关漏洞的任何评论
浏览 6提问于2018-10-23得票数 3
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
