Skip to content

同学,您这个项目引入了17个开源组件,存在2个漏洞,辛苦升级一下 #15

Description

检测到 LB-Yu/data_systems_learning 一共引入了17个开源组件,存在2个漏洞

漏洞标题:FasterXML jackson-databind 代码问题漏洞
缺陷组件:com.fasterxml.jackson.core:jackson-databind@2.10.0
漏洞编号:CVE-2020-25649
漏洞描述:FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。
FasterXML Jackson Databind存在代码问题漏洞,攻击者可利用该漏洞可以将恶意的XML数据传输到FasterXML Jackson Databind,以读取文件、扫描站点或触发拒绝服务。
影响范围:[2.10.0, 2.10.5.1)
最小修复版本:2.10.5.1
缺陷组件引入路径:org.example:calcite-parser@1.0-SNAPSHOT->org.apache.calcite:calcite-core@1.26.0->com.fasterxml.jackson.core:jackson-databind@2.10.0

另外还有2个漏洞,详细报告:https://mofeisec.com/jr?p=i01462

Metadata

Metadata

Assignees

No one assigned

    Labels

    No labels
    No labels

    Projects

    No projects

    Milestone

    No milestone

    Relationships

    None yet

    Development

    No branches or pull requests

    Issue actions