Я заметил, что ведутся работы по обновлению пакета spring-security-oauth2 для удаления ссылки на версию 1 компонентов Jackson. Это хорошо. Я также заметил, что упомянутая версия пакета Jackson для замены в файлах POM - 2.9.10. Если вы собираетесь обновить систему, чтобы ссылаться на более новую платформу Джексона, вам действительно следует обновить ее до версии 2.10.0, так как это разрешает около 20 CVE, касающихся неправильного назначения ввода при десериализации объектов. См. https://nvd.nist.gov/vuln/detail/CVE-2017-4995.. В настоящее время Nexus и другие сканеры уязвимостей отмечают множество очень уязвимых проблем, связанных с десериализацией в версиях Jackson Databind до 2.10.0, так что это очень заметная проблема.
Как примечание эта проблемабыла исправлена в spring-security в версии 4.2.3, поэтому, возможно, смотрите https://spring.io/blog/2017/06/08/cve-2017-4995-spring-security-4-2-3-released о том, что было сделано.
Возможно, команда spring-security-auth2 знает о доступности Jackson 2.10. 0 уже пакет, но просто обращаю внимание на проблему. Надеемся, что проблема может быть решена в ближайшее время.
Спасибо