alibaba/Sentinel

FasterXML jackson-databind 代码问题漏洞(CVE-2022-42003)

Open

#2.950 geöffnet am 14. Nov. 2022

Auf GitHub ansehen
 (7 Kommentare) (0 Reaktionen) (0 zugewiesene Personen)Java (23.109 Stars) (8.150 Forks)batch import
dependenciesgood first issue

Beschreibung

最新sentinel-dashboard1.8.6 中jackson-databind 版本是jackson-databind-2.12.6.1.jar

有处理此漏洞的计划吗?

CVE编号 CVE-2022-42003 披露时间 2022-10-02

修复方案 建议受影响客户升级到2.14.0-rc2及以上安全版本,版本获取链接: https://github.com/FasterXML/jackson-databind

Contributor Guide

Tech Stack
java
Domain
security
Issue Type
security
SchwierigkeitGeschätzte Implementierungsschwierigkeit für neue Contributors, von 1 für sehr kleine Änderungen bis 5 für Expertenarbeit.
2
Geschätzte ZeitEin grober Zeitrahmen, um zu recherchieren, zu implementieren, zu testen und einen Pull Request vorzubereiten.
half day
AktivitätsstatusWie verfügbar das Issue gerade wirkt: frisch, aktiv, stale, blockiert oder wartet auf Maintainer-Input.
needs maintainer response
KlarheitWie klar das Issue die erwartete Änderung, Akzeptanzkriterien und den nächsten Schritt erklärt.
clear
Voraussetzungen
JavaMavendependency management
EinsteigerfreundlichkeitEin Score von 1 bis 100, der schätzt, wie zugänglich dieses Issue für First-Time Contributors ist.
50
Research-Richtung
The issue is a request to upgrade jackson databind to version 2.14.0 rc2 or higher to fix CVE 2022-42003. The fix involves updating the dependency version in the Sentinel dashboard's pom.xml file (likely in sentinel dashboard/pom.xml). Ensure compatibility with other Jackson dependencies and verify that no breaking changes affect the codebase. Check the existing comments for any maintainer response or blocked status. No linked PRs or assignees are present, so it is available for contribution but requires maintainer confirmation on the desired version and any additional changes.