...
Die Schwachstelle kommt durch Spring Core in die jadice Produkte. Die CVE wurde schon vor über 2 Jahren gemeldet, wird aber wohl erst seit 11/2022 von einigen Dependency Checkern (SonarQube, ...) als Critical gemeldet.
Bewertung
False positivenot affected |
Das grundsätzliche Problem ist, dass die Serialisierung des Java JDK unsicher ist. Spring Framework (Spring Core) bietet in Version 5.x den Spring HTTP Invoker an (welcher jedoch deprecated ist), der diese unsichere Java De-Serialisierung verwendet. Diese Klasse wird von jadice nicht verwendet, wodurch jadice nicht von der Schwachstelle betroffen ist.
...
- Einsatz von Java 17
- Migration auf jadice web toolkit >= 5.12.0.0 (sobald dieses verfügbar ist, geplant für 12/2022verfügbar seit 01/2023)