Vaadin 8 和过时的 HighCharts 库的安全问题
Security issue with Vaadin 8 and outdated HighCharts library
我们收到了很多关于使用 Vaadin 8.13.2 和 Vaadin Charts 4.2.1 的应用程序 VAPT 的热议。 Vaadin 图表使用 High Charts 4.2.7,它有几个已知的安全问题(例如 XSS https://snyk.io/vuln/SNYK-JS-HIGHCHARTS-571995)。
我们确实需要修复该问题,或者至少需要来自 Vaadin 的正式沟通,说明在 Vaadin 8 中该漏洞不可强制执行。
Vaadin 销售支持说要在这里寻求此类帮助和文档,我们是专业客户。
编辑:他们通过更好地清理 Vaadin Charts 4.3.0 中的输入解决了这个问题
听到 Vaadin 的某个人将安全问题重定向到 Stack Overflow 而不是将讨论转发到 our security team,我很难过。同时,我意识到并不是 Vaadin 的每个人都是具有深刻安全洞察力的软件工程师,并且可能会发生错误。
我们的总体理解是,针对 this version of Highcharts 报告的问题仅适用于图表数据或配置基于来自不受信任用户的输入的情况,这通常不适用于受信任的应用程序类型使用 Vaadin 构建。
在我们得出任何明确的结论之前,我们还需要花一些时间仔细检查细节。不幸的是,由于向后兼容性问题,按照 Highcharts 的建议更新到更新的版本是不切实际的。在 Vaadin Charts 中引入额外检查以减轻这些风险可能是可行的,否则我们将不得不对应用程序代码提出具体建议。
我们也在讨论 Vaadin 是否应该更主动地解决传递依赖中的安全问题,但这是一个复杂的问题,需要在许多不同因素之间进行平衡。
亲切的问候,
莱夫奥斯特兰德
Vaadin 首席技术官
我们收到了很多关于使用 Vaadin 8.13.2 和 Vaadin Charts 4.2.1 的应用程序 VAPT 的热议。 Vaadin 图表使用 High Charts 4.2.7,它有几个已知的安全问题(例如 XSS https://snyk.io/vuln/SNYK-JS-HIGHCHARTS-571995)。
我们确实需要修复该问题,或者至少需要来自 Vaadin 的正式沟通,说明在 Vaadin 8 中该漏洞不可强制执行。
Vaadin 销售支持说要在这里寻求此类帮助和文档,我们是专业客户。
编辑:他们通过更好地清理 Vaadin Charts 4.3.0 中的输入解决了这个问题
听到 Vaadin 的某个人将安全问题重定向到 Stack Overflow 而不是将讨论转发到 our security team,我很难过。同时,我意识到并不是 Vaadin 的每个人都是具有深刻安全洞察力的软件工程师,并且可能会发生错误。
我们的总体理解是,针对 this version of Highcharts 报告的问题仅适用于图表数据或配置基于来自不受信任用户的输入的情况,这通常不适用于受信任的应用程序类型使用 Vaadin 构建。
在我们得出任何明确的结论之前,我们还需要花一些时间仔细检查细节。不幸的是,由于向后兼容性问题,按照 Highcharts 的建议更新到更新的版本是不切实际的。在 Vaadin Charts 中引入额外检查以减轻这些风险可能是可行的,否则我们将不得不对应用程序代码提出具体建议。
我们也在讨论 Vaadin 是否应该更主动地解决传递依赖中的安全问题,但这是一个复杂的问题,需要在许多不同因素之间进行平衡。
亲切的问候,
莱夫奥斯特兰德
Vaadin 首席技术官