Grails - Apache Commons Collection 漏洞
Grails - Apache Commons Collection vulnerability
关于在 commons-collections 库中发现的以下漏洞,
https://www.kb.cert.org/vuls/id/576313
我发现受影响的版本 3.2.1 在我 运行 2.5.5 下的 Grails 项目中被拉入休眠状态 (3.6.10.18)。
库的这种使用是否会在暴露漏洞方面构成任何威胁。
我是否应该导入修补版本 (3.2.2) 作为直接依赖项以减少任何暴露的机会?
问题中的漏洞 class (InvokerTransformer) 从未在 Grails 代码库中使用过,我没有看到在 Grails 应用程序中可以利用此漏洞的情况。
尽管如此,您当然可以升级到 3.2.2,只需在 BuildConfig.groovy 或 build.gradle 文件中指定依赖项即可
关于在 commons-collections 库中发现的以下漏洞,
https://www.kb.cert.org/vuls/id/576313
我发现受影响的版本 3.2.1 在我 运行 2.5.5 下的 Grails 项目中被拉入休眠状态 (3.6.10.18)。 库的这种使用是否会在暴露漏洞方面构成任何威胁。 我是否应该导入修补版本 (3.2.2) 作为直接依赖项以减少任何暴露的机会?
问题中的漏洞 class (InvokerTransformer) 从未在 Grails 代码库中使用过,我没有看到在 Grails 应用程序中可以利用此漏洞的情况。
尽管如此,您当然可以升级到 3.2.2,只需在 BuildConfig.groovy 或 build.gradle 文件中指定依赖项即可