Сканирование компонента Sonatype Nexus IQ Server указывает, что в библиотеке Jackson-Databind версии 2.9.9 имеется проблема уязвимости, закодированная как sonatype-2017-0312.
jackson-databind уязвим для удаленного выполнения кода (RCE). Функция createBeanDeserializer () в классе BeanDeserializerFactory позволяет десериализовать ненадежные объекты Java. Удаленный злоумышленник может воспользоваться этим, загрузив вредоносный сериализованный объект, который приведет к RCE, если приложение попытается десериализовать его.
Я пытался использовать redhat-версию Jackson-databind и различные типы, рекомендованные sonatype, но теперь мы столкнулись с использованием jackson-databind-2.9.8.redhat-00004.jar и закончили с двумя уязвимостями CVE -2019-12086 и sonatype-2017-0312.