安全公告
DolphinDB 安全团队在常规依赖库安全扫描中发现,DolphinDB Java API 使用的第三方压缩库
org.lz4:lz4-java 1.7.1 版本存在已公开安全漏洞。
该漏洞可能在处理来自不受信任来源的压缩数据时被触发,导致敏感信息泄露或异常内存访问问题。
为保障用户系统安全,DolphinDB 已在 Java API 3.00.5 版本中完成修复,建议用户尽快升级。
| CVE编号 | 漏洞名称 | 漏洞类型 | 披露时间 | CVSS评分 | 受影响组件 | 受影响版本 | 修复版本 |
|---|---|---|---|---|---|---|---|
| CVE-2025-66566 | Information leak in LZ4 Java decompressor | CWE‑201 | 2025-12-05 | 8.2 | org.lz4:lz4-java 1.7.1 | Java API ≤ 3.00.4.2 | Java API 3.00.5 |
| CVE-2025-12183 | Out‑of‑bounds memory operations in LZ4 Java | CWE‑125 | 2025-12-29 | 8.8 |