如何解决spring-boot 2.3.7 spring-boot-starter-integration CVE-2019-3772
我从 Sonar 上的 Dependency-Checker 工具获得以下信息:
Filename: spring-boot-starter-integration-2.3.7.RELEASE.jar | Reference: CVE-2019-3772 | CVSS score: 9.8 | Category: CWE-611 | Spring Integration (spring-integration-xml and spring-integration-ws modules),versions 4.3.18,5.0.10,5.1.1,and older unsupported versions,were susceptible to XML External Entity Injection (XXE) when receiving XML data from untrusted sources.
我正在使用 spring boot 2.3.7.RELEASE。 Spring-Frameworks 的版本是 Spring 5.2.12.RELEASE 和 Spring-Integration 5.3.4.RELEASE。依赖树中没有旧的 Spring 依赖关系。很少有应用程序模块在使用 Spring-AOP(不确定是 spring-integration 和 spring-aop 的组合导致了这个问题???)。
是否存在与 Spring-Integration 和 Spring-AOP 结合使用的已知 CVE 问题?
我不知道为什么会弹出这个,我该怎么做才能让它消失。
非常欢迎提示,非常感谢
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
