snakeyaml (CVE-2022-1471)
Die folgenden Sicherheitslücken werden von Dependency-Checks bei allen Versionen des jadice web toolkit < 5.12 / 5.11.27.3 gefunden:
CVE-2022-1471 (critical / high)
Betroffene Produkte
| jadice web toolkit | jadice web viewer | jadice viewer (Swing) | Output Organizer | Dossier Organizer | jadice server 5 | jadice flow |
|---|---|---|---|---|---|---|---|
Betroffen | < 5.12 / 5.11.27.3 |
|
|
|
|
|
|
Behoben | >= 5.12 / 5.11.27.3 |
|
|
|
|
|
|
Herkunft
Die CVEs kommen durch Spring Boot ins Produkt.
Auswirkungen
Der CVE kann theoretisch zur Remote Code Execution genutzt werden (RCE).
Bewertung
not affected |
Spring verwendet, wie in der oben verlinkten CVE-Datenbank empfohlen, SafeConstructor. Zudem verwendet Spring White-List Filter für die Erstellung der Klassen. Der Fehler ist daher nicht relevant.
Abhilfe
Migration auf jadice web toolkit >= 5.12 (verfügbar seit 02/2023)
Migration auf jadice web toolkit >= 5.11.27.3 (verfügbar seit 07/2023)