snakeyaml (CVE-2022-1471)

Die folgenden Sicherheitslücken werden von Dependency-Checks bei allen Versionen des jadice web toolkit < 5.12 / 5.11.27.3 gefunden:

• CVE-2022-1471 (critical / high)

Herkunft

Die CVEs kommen durch Spring Boot ins Produkt.

Auswirkungen

Der CVE kann theoretisch zur Remote Code Execution genutzt werden (RCE).

Bewertung

Spring verwendet, wie in der oben verlinkten CVE-Datenbank empfohlen, SafeConstructor. Zudem verwendet Spring White-List Filter für die Erstellung der Klassen. Der Fehler ist daher nicht relevant.

Abhilfe

• Migration auf jadice web toolkit >= 5.12 (verfügbar seit 02/2023)
• Migration auf jadice web toolkit >= 5.11.27.3 (verfügbar seit 07/2023)

Quellen

• spring-boot/OriginTrackedYamlLoader.java at main · spring-projects/spring-boot (github.com)
• spring-framework/YamlProcessor.java at 5.3.x · spring-projects/spring-framework (github.com)
• snakeyaml / snakeyaml / wiki / CVE-2022-1471 — Bitbucket