snakeyaml (CVE-2022-1471)
Die folgenden Sicherheitslücken werden von Dependency-Checks bei allen Versionen des jadice web toolkit < 5.12 / 5.11.27.3 gefunden:
- CVE-2022-1471 (critical / high)
Herkunft
Die CVEs kommen durch Spring Boot ins Produkt.
Auswirkungen
Der CVE kann theoretisch zur Remote Code Execution genutzt werden (RCE).
Bewertung
not affected |
Spring verwendet, wie in der oben verlinkten CVE-Datenbank empfohlen, SafeConstructor. Zudem verwendet Spring White-List Filter für die Erstellung der Klassen. Der Fehler ist daher nicht relevant.
Abhilfe
- Migration auf jadice web toolkit >= 5.12 (verfügbar seit 02/2023)
- Migration auf jadice web toolkit >= 5.11.27.3 (verfügbar seit 07/2023)