8
环境信息
arthas-boot.jar或者as.sh的版本: 3.6.8- Arthas 版本: 3.6.8
- 操作系统版本: 无关
- 目标进程的JVM版本: 无关
- 执行
arthas-boot的版本: 3.6.8
发版打包出来的arthas-core.jar 里面存在依赖低版本的 com.fasterxml.jackson.core:jackson-databind:2.7.9.4 , 该版本发版日期为 2018年6月, maven中央仓库上面显示的CVE漏洞目前已经有47个,其中紧急CVE漏洞有 23个,最近的紧急漏洞为:CVE-2020-9548 修复版本为 2.9.10.4, 该系列下最新的版本号为 2.9.10.8。 2.9.10.8存在已知CVE: CVE-2022-42004 score: high 7.5 受BeanDeserializer._deserializeFromArray 功能影响,反序列化时产生问题。 CVE-2022-42003 score: high 7.5 UNWRAP_SINGLE_VALUE_ARRAYS 特性启用时受影响 CVE-2020-36518 score: high 7.5 DOS风险
2.7.9.4版本严重的CVE有:
建议评估一下是否可以升级到 2.9.10.8 版本。
如无特殊用法要求和自动化测试有较高覆盖率的话, 建议使用版本2.13.5 或 2.14.2, 目前无已知漏洞。
期望的结果依赖的jackson-databind版本升级至无严重安全漏洞的版本。
实际运行的结果使用了很低版本带安全风险的组件,存在被利用的风险。