SpringBoot升级指定jackson版本的问题
【漏洞通告】
2月19日,NVD发布安全通告披露了jackson-databind由JNDI注入导致的远程代码执行
漏洞(CVE-2020-8840),CVSS评分为9.8 。受影响版本的jackson-databind中由于缺少
某些xbean-reflect/JNDI黑名单类,如org.apache.xbean.propertyeditor.JndiConverter,
可导致攻击者使用JNDI注入的方式实现远程代码执行。目前厂商已发布新版本完成漏洞修复,
请相关用户及时升级进行防护。
由于项目中用到的Springboot版本为2.1.3,自带的jackson版本为2.9.8,低于安全版本
2.9.10.6,所以需要升级jackson的版本。
修改Springboot中jackson版本
在项目的pom.xml中properties标签下添加jackson.version属性
<jackson.version>2.11.0</jackson.version>
若只想修改jackson-databind版本,添加jackson.version.databind属性即可
<jackson.version.databind>${jackson.version}</jackson.version.databind>
到此这篇关于SpringBoot升级指定jackson版本的文章就介绍到这了,更多相关SpringBoot jackson版本内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
Java设置Access-Control-Allow-Origin允许多域名访问的实现方法
这篇文章主要介绍了Java设置Access-Control-Allow-Origin允许多域名访问的实现方法,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下2018-10-10SPRING FRAMEWORK BEAN作用域和生命周期原理解析
这篇文章主要介绍了SPRING FRAMEWORK BEAN作用域和生命周期原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2020-01-01
最新评论