• 我已经在 issues 里搜索，没有重复的issue。

环境信息

• arthas-boot.jar 或者 as.sh 的版本： 3.6.8
• Arthas 版本: 3.6.8
• 操作系统版本: 无关
• 目标进程的JVM版本: 无关
• 执行arthas-boot的版本: 3.6.8

重现问题的步骤

发版打包出来的arthas-core.jar 里面存在依赖低版本的 com.fasterxml.jackson.core:jackson-databind:2.7.9.4 , 该版本发版日期为
2018年6月， maven中央仓库上面显示的CVE漏洞目前已经有47个，其中紧急CVE漏洞有 23个，最近的紧急漏洞为：CVE-2020-9548 修复版本为 2.9.10.4, 该系列下最新的版本号为 2.9.10.8。
2.9.10.8存在已知CVE：
CVE-2022-42004 score: high 7.5 受BeanDeserializer._deserializeFromArray 功能影响，反序列化时产生问题。
CVE-2022-42003 score: high 7.5 UNWRAP_SINGLE_VALUE_ARRAYS 特性启用时受影响
CVE-2020-36518 score: high 7.5 DOS风险

2.7.9.4版本严重的CVE有：

1. CVE-2017-15095
2. CVE-2017-17485
3. CVE-2018-14718
4. CVE-2018-14719
5. CVE-2018-14720
6. CVE-2018-14721
7. CVE-2018-19360
8. CVE-2018-19361
9. CVE-2018-19362
10. CVE-2018-7489
11. CVE-2019-14379
12. CVE-2019-14540
13. CVE-2019-14893
14. CVE-2019-16335
15. CVE-2019-16942
16. CVE-2019-16943
17. CVE-2019-17267
18. CVE-2019-17531
19. CVE-2019-20330
20. CVE-2020-8840
21. CVE-2020-9546
22. CVE-2020-9547
23. CVE-2020-9548

建议评估一下是否可以升级到 2.9.10.8 版本。

如无特殊用法要求和自动化测试有较高覆盖率的话， 建议使用版本2.13.5 或 2.14.2， 目前无已知漏洞。

期望的结果

依赖的jackson-databind版本升级至无严重安全漏洞的版本。

实际运行的结果

使用了很低版本带安全风险的组件，存在被利用的风险。