安全漏洞--v1.17.0

# 使用环境

> ↓↓ 请填写您的使用环境 ↓↓

- Torna版本：1.17.0
- Java版本：1.8
- MySQL版本：5.7
- 浏览器：Chrome/Edge
- smart-doc版本(如果使用)：2.5.3
- swagger插件版本(如果使用)：

# 描述

目前升级到最新版本1.17.0还是存在部分漏洞，报告一下
| CVE编号 | 漏洞描述  | 修复建议  |
|---|---|---|
| -- | Apache Commons Collections是一个扩展了Java标准库里的Collection结构的第三方基础库，它提供了很多强有力的数据结构类型并且实现了各种集合工具类。作为Apache开源项目的重要组件，Commons Collections被广泛应用于各种Java应用的开发。 Apache Commons Collections库实现了一个TransformedMap类，该类是对Java标准数据结构Map接口的一个扩展。该类可以在一个元素被加入到集合内时，自动对该元素进行特定的修饰变换，具体的变换逻辑由Transformer类定义，Transformer在TransformedMap实例化时作为参数传入。而Apache Commons Collections已经内置了一些常用的Transformer，如InvokerTransformer类。研究人员发现InvokerTransformer类可以通过调用Java的反射机制来调用任意函数，从而导致任意代码执行。 Apache Commons Collections在3.2.2版本中做了一定的安全处理，对InvokerTransformer、InstantiateTransformer等不安全的Java类的序列化支持增加了开关，开关默认为关闭状态。 如果没有开启不安全类的序列化开关，漏洞利用时则会抛出异常。 Commons Collections4中也存在内置的可能被攻击的类,存在被反序列化利用的风险。  |  将 Apache Commons Collections 升级到 3.2.2、4.1 及以上版本 |
| CVE-2020-13936 | Apache Velocity 是一个基于 Java 的模板引擎。 Apache Velocity 存在远程代码执行漏洞，攻击者能够通过修改Velocity模板从而执行任意Java代码或运行与Servlet容器帐户相同特权的任意系统命令。  |  将 Velocity 升级到 2.3 及以上版本 |
| CVE-2021-2471 | Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。 Oracle MySQL 的 MySQL Connectors 产品中存在XML外部实体注入漏洞，该漏洞是由于MySQL JDBC 存在``getSource()``方法未对传入的XML数据做校验，导致攻击者可以在XML数据中引入外部实体，造成XXE攻击  | 将 mysql-connector-java 升级到 8.0.27 及以上版本  |

tanghc/torna

内容风险标识

评论 (0)

tanghc/torna .gitee-modal { width: 500px !important; }

内容风险标识