Skip to content

fix(security): patch jackson-databind CVE-2026-54512..54515 via jackson-bom 2.21.5#111

Closed
seonghobae wants to merge 1 commit into
mainfrom
fix/jackson-databind-cve-2026-54512
Closed

fix(security): patch jackson-databind CVE-2026-54512..54515 via jackson-bom 2.21.5#111
seonghobae wants to merge 1 commit into
mainfrom
fix/jackson-databind-cve-2026-54512

Conversation

@seonghobae

Copy link
Copy Markdown
Collaborator

문제

trivy-fs가 clearfolio의 여러 PR을 막고 있었는데, 적대적 검증 결과 실제 취약점으로 확인됐습니다(오탐 아님).

  • com.fasterxml.jackson.core:jackson-databind 2.19.0CVE-2026-54512/54513/54514/54515 (54512는 CVSS 8.1 HIGH)
  • 2.19.0은 spring-boot-starter-parent 3.5.0 BOM에서 상속되며 pom.xml에 명시 버전 없음
  • 저장소에 allowlist 파일 없음 → 억제가 아니라 업그레이드가 정답

수정

<properties>에 BOM 오버라이드 한 줄 추가:

<jackson-bom.version>2.21.5</jackson-bom.version>
  • 2.21.5가 4개 CVE 전부 패치(54512/54513/54514는 2.21.4, 54515는 2.21.5)
  • Jackson 2.x 라인 유지 → Spring Boot 3.5.0과 바이너리 호환, 비파괴
  • 2.18.8은 다운그레이드라 사용 안 함

검증: 12-에이전트 적대적 워크플로가 advisory 범위·pom 상속·패치 버전·비파괴성을 독립 재확인.

🤖 Generated with Claude Code

…on-bom 2.21.5

jackson-databind 2.19.0 (inherited from spring-boot-starter-parent 3.5.0 BOM)
is affected by CVE-2026-54512/54513/54514/54515. Override jackson-bom.version
to 2.21.5 (same Jackson 2.x line, Spring Boot 3.5.0-compatible, non-breaking)
which patches all four. Verified: databind declared version-less in pom.xml so
the BOM property override cleanly retargets the whole Jackson stack.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Claude-Session: https://claude.ai/code/session_01EywwS2Du8pimW7xqRP3An3
@seonghobae seonghobae enabled auto-merge (squash) July 7, 2026 13:19
@seonghobae

Copy link
Copy Markdown
Collaborator Author

스튜어드 검증 노트 (#110과 충돌 + 54515 청구 검증)

충돌: #111(jackson-bom 2.21.5)과 #110(jackson-bom 2.21.4)은 같은 pom.xml의 동일 프로퍼티를 수정하므로 동시 병합 불가입니다. 오너가 #108을 닫으며 #110을 정본으로 지정했습니다.

54515 청구 검증 (OSV.dev, 2026-07-07 조회):

버전 OSV 노출 CVE
2.21.4 (#110) CVE-2026-54515
2.21.5 (#111) CVE-2026-54515 만 (여전히 노출)

즉 OSV 기준 2.21.5도 CVE-2026-54515(GHSA-5jmj)를 해소하지 못합니다. 본 PR 제목의 "...54515 via 2.21.5"는 이 부분에서 부정확합니다. 두 버전 모두 54512/54513/54514(HIGH 2건 포함)는 해소하지만 54515는 남습니다 — 완전 해소는 2.22.1+ 또는 3.x가 필요합니다(GHSA-5jmj 어드바이저리 대조 권장).

정리 제안: jackson CVE 커버리지는 #110(2.21.4)과 #111(2.21.5)이 실질 동등하고, #110이 추가로 Tika 제거(bouncycastle CRITICAL)·netty·parent까지 포괄하므로 #110을 정본으로 병합하고 본 #111은 닫는 것이 pom 충돌을 피하는 길로 보입니다. 다만 이는 오너 판단 사안이라 닫지 않고 근거만 남깁니다. (54515 완전 해소는 별도 2.22.1+/3.x 티켓 권장.)

@seonghobae

Copy link
Copy Markdown
Collaborator Author

중복 정리: #110이 jackson(2.21.4)을 포함해 spring-boot BOM 전체(3.5.14)·netty를 함께 올리는 superset입니다. 이 PR(#111, jackson 2.21.5 단독)은 #110으로 흡수. 둘 다 로컬 335/335 통과 확인.

@seonghobae seonghobae closed this Jul 7, 2026
auto-merge was automatically disabled July 7, 2026 14:02

Pull request was closed

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Labels

None yet

Projects

None yet

Development

Successfully merging this pull request may close these issues.

1 participant