alibaba/Sentinel

FasterXML jackson-databind 代码问题漏洞(CVE-2022-42003)

Open

#2 950 ouverte le 14 nov. 2022

Voir sur GitHub
 (7 commentaires) (0 réactions) (0 assignés)Java (23 109 stars) (8 150 forks)batch import
dependenciesgood first issue

Description

最新sentinel-dashboard1.8.6 中jackson-databind 版本是jackson-databind-2.12.6.1.jar

有处理此漏洞的计划吗?

CVE编号 CVE-2022-42003 披露时间 2022-10-02

修复方案 建议受影响客户升级到2.14.0-rc2及以上安全版本,版本获取链接: https://github.com/FasterXML/jackson-databind

Guide contributeur

Stack technique
java
Domaine
security
Type d'issue
security
DifficultéDifficulté estimée pour un nouveau contributeur, de 1 pour un très petit changement à 5 pour un travail expert.
2
Temps estiméFourchette de temps approximative pour investiguer, implémenter, tester et préparer une pull request.
half day
Statut d'activitéDisponibilité apparente de l'issue : fraîche, active, ancienne, bloquée ou en attente d'un mainteneur.
needs maintainer response
ClartéClarté avec laquelle l'issue explique le changement attendu, les critères d'acceptation et la prochaine étape.
clear
Prérequis
JavaMavendependency management
Accessibilité débutantScore de 1 à 100 estimant l'accessibilité de cette issue pour un premier contributeur.
50
Direction de recherche
The issue is a request to upgrade jackson databind to version 2.14.0 rc2 or higher to fix CVE 2022-42003. The fix involves updating the dependency version in the Sentinel dashboard's pom.xml file (likely in sentinel dashboard/pom.xml). Ensure compatibility with other Jackson dependencies and verify that no breaking changes affect the codebase. Check the existing comments for any maintainer response or blocked status. No linked PRs or assignees are present, so it is available for contribution but requires maintainer confirmation on the desired version and any additional changes.