漏洞CVE-2023-1436

当前使用版本、分支(必填,否则不予处理)

v2.2.6

该问题是如何引起的？(确定最新版也有问题再提!!!)

https://research.jfrog.com/vulnerabilities/jettison-json-array-dos-xray-427911/

重现步骤(如果有就写完整)

在dev-api的pom文件中有引用

<dependency>
   <groupId>com.aliyun.oss</groupId>
   <artifactId>aliyun-sdk-oss</artifactId>
</dependency>

而aliyun-sdk-oss下依赖

<groupId>org.codehaus.jettison</groupId>
<artifactId>jettison</artifactId>

引起

报错信息

解决办法

升级jettison版本
修改project下pom中

<jettison.version>1.5.4</jettison.version>

修改dev-api下pom把

<dependency>
            <groupId>com.aliyun.oss</groupId>
            <artifactId>aliyun-sdk-oss</artifactId>
        </dependency>

改为

<dependency>
            <groupId>com.aliyun.oss</groupId>
            <artifactId>aliyun-sdk-oss</artifactId>
            <exclusions>
                <exclusion>
                    <groupId>org.codehaus.jettison</groupId>
                    <artifactId>jettison</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <!-- https://mvnrepository.com/artifact/org.codehaus.jettison/jettison -->
        <dependency>
            <groupId>org.codehaus.jettison</groupId>
            <artifactId>jettison</artifactId>
        </dependency>

即可

感谢指出，已修复，下一版本发布

小诺 / Snowy

内容风险标识

当前使用版本、分支(必填,否则不予处理)

该问题是如何引起的？(确定最新版也有问题再提!!!)

重现步骤(如果有就写完整)

报错信息

解决办法

评论 (1)

小诺 / Snowy .gitee-modal { width: 500px !important; }

内容风险标识

漏洞CVE-2023-1436

当前使用版本、分支(必填,否则不予处理)

该问题是如何引起的？(确定最新版也有问题再提!!!)

重现步骤(如果有就写完整)

报错信息

解决办法

评论 (1)

搜索帮助

小诺 / Snowy