snakeyaml (CVE-2022-1471)

Die folgenden Sicherheitslücken werden von Dependency-Checks bei allen Versionen des jadice web toolkit < 5.12 / 5.11.27.3 gefunden:

Herkunft

Die CVEs kommen durch Spring Boot ins Produkt.

Auswirkungen

Der CVE kann theoretisch zur Remote Code Execution genutzt werden (RCE).

Bewertung

not affected

Spring verwendet, wie in der oben verlinkten CVE-Datenbank empfohlen, SafeConstructor. Zudem verwendet Spring White-List Filter für die Erstellung der Klassen. Der Fehler ist daher nicht relevant.

Abhilfe

  • Migration auf jadice web toolkit >= 5.12 (verfügbar seit 02/2023)
  • Migration auf jadice web toolkit >= 5.11.27.3 (verfügbar seit 07/2023)

Quellen