S2-055
跳到元数据结束
由Lukasz Lenart创作，最后修改约2小时前 转到元数据的开始
概要
Jackson JSON库中的漏洞
谁应该读这个
所有使用REST插件的Struts 2开发人员和用户
漏洞的影响
不清楚，请阅读链接问题的更多细节。https://github.com/FasterXML/jackson-databind/issues/1599
最大的安全等级
中
建议
升级到Struts 2.5.14.1
受影响的软件
Struts 2.5 - Struts 2.5.14
记者
David Dillard <Veritas公司产品安全部门的david dot dillard>
CVE标识符
与CVE-2017-7525相关
问题
最新的杰克逊JSON库检测到一个漏洞，这是在这里报告。升级com.fasterxml.jackson 到版本2.9.2以解决CVE-2017-7525的问题。
解
升级到Apache Struts版本2.5.14.1。另一个解决方案是手动升级项目中的杰克逊依赖关系到不易受攻击的版本，请参阅此评论。
向后兼容
预计不会有后向不兼容问题。
解决方法
将Jackson JSON库升级到最新版本。