Two security holes: jackson-databind and fastjson. Associated version edp963/davinci: v0.3.0-beta.9 #1783
Assignees
Comments
# for free
to join this conversation on GitHub.
Already have an account?
# to comment
修复建议
针对使用到jackson-databind组件的web服务器升级jackson相关组件至最新版本:FasterXML/jackson-databind#2334
注意:
Jackson漏洞检测规则是通过判定机器运行时的jar包中是否存在漏洞版本的jackson-databind组件,无法精准确认漏洞有效攻击面,实际是否真实受漏洞影响还需用户根据自身业务判断
修复建议
较低版本升级至最新版本1.2.60可能会出现兼容性问题,建议升级至特定版本的sec06 bugfix版本,参考下载链接:http://repo1.maven.org/maven2/com/alibaba/fastjson/
注意:
fastjson漏洞检测规则是通过判定机器运行时的jar包中是否存在漏洞版本的fastjson组件,无法精准确认漏洞有效攻击面,仅供参考,不具备真实受漏洞影响判定,实际是否真实受漏洞影响还需用户根据自身业务判断。
The text was updated successfully, but these errors were encountered: