2月19日,NVD發布安全通告揭露了jackson-databind由JNDI注入導致的遠端程式碼執行
漏洞(CVE-2020-8840), CVSS評分為9.8 。受影響版本的jackson-databind中由於缺少
某些xbean-reflect/JNDI黑名單類,如org.apache.xbean.propertyeditor.JndiConverter,
可導致攻擊者使用JNDI注入的方式實現遠端程式碼執行。目前廠商已發布新版本完成漏洞修復,
請相關用戶及時升級進行防護。
由於專案中用到的Springboot版本為2.1.3,自帶的jackson版本為2.9.8,低於安全版
2.9.10.6,所以需要升級jackson的版本。
在專案的pom.xml中properties標籤下新增jackson.version屬性
<jackson.version>2.11.0</jackson.version>
若只想修改jackson-databind版本,加入jackson.version.databind屬性即可
<jackson.version.databind>${jackson.version}</jackson.version.databind>以上是SpringBoot升級指定jackson版本的問題怎麼解決的詳細內容。更多資訊請關注PHP中文網其他相關文章!
