哪个版本的jackson-databind没有远程执行漏洞？

Question

我无法在线找到与Spring应用程序一起使用的、没有远程执行漏洞的jackson数据库的哪个版本？任何帮助都是非常感谢的。

Answer 1

由于版本2.10.0，这个问题是通过添加新的方法集来解决的：activateDefaultTyping，而不是废弃的方法集enableDefaultTyping。这个问题也是为什么这个版本被发布的原因之一。

2.10的主要目标 回顾过去，这个小版本有三个主要目标：

1. 解决不断增长的“无止境CVE修补程序”问题，这是报告的CVEs与“多态反序列化”问题(在“论Jackson CVEs…”中描述)相关的修复流，导致安全工具迫使Jackson升级。2.10现在包括“安全默认输入”，希望它能够解决这个问题。

您可以在本文中找到更多内容：杰克逊2.10特写。

示例代码：

import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.SerializationFeature;
import com.fasterxml.jackson.databind.json.JsonMapper;
import com.fasterxml.jackson.databind.jsontype.BasicPolymorphicTypeValidator;
import com.fasterxml.jackson.databind.jsontype.PolymorphicTypeValidator;

import java.util.ArrayList;

public class JsonPathApp {

    public static void main(String[] args) throws Exception {
        PolymorphicTypeValidator ptv = BasicPolymorphicTypeValidator.builder()
                .allowIfSubType(MyValue.class)
                .allowIfSubType(ArrayList.class)
                .build();

        ObjectMapper mapper = JsonMapper.builder()
                .enable(SerializationFeature.INDENT_OUTPUT)
                .activateDefaultTyping(ptv, ObjectMapper.DefaultTyping.NON_FINAL).build();
    }
}