代码拉取完成,页面将自动刷新
↓↓ 请填写您的使用环境 ↓↓
目前升级到最新版本1.17.0还是存在部分漏洞,报告一下
| CVE编号 | 漏洞描述 | 修复建议 |
|---|---|---|
| -- | Apache Commons Collections是一个扩展了Java标准库里的Collection结构的第三方基础库,它提供了很多强有力的数据结构类型并且实现了各种集合工具类。作为Apache开源项目的重要组件,Commons Collections被广泛应用于各种Java应用的开发。 Apache Commons Collections库实现了一个TransformedMap类,该类是对Java标准数据结构Map接口的一个扩展。该类可以在一个元素被加入到集合内时,自动对该元素进行特定的修饰变换,具体的变换逻辑由Transformer类定义,Transformer在TransformedMap实例化时作为参数传入。而Apache Commons Collections已经内置了一些常用的Transformer,如InvokerTransformer类。研究人员发现InvokerTransformer类可以通过调用Java的反射机制来调用任意函数,从而导致任意代码执行。 Apache Commons Collections在3.2.2版本中做了一定的安全处理,对InvokerTransformer、InstantiateTransformer等不安全的Java类的序列化支持增加了开关,开关默认为关闭状态。 如果没有开启不安全类的序列化开关,漏洞利用时则会抛出异常。 Commons Collections4中也存在内置的可能被攻击的类,存在被反序列化利用的风险。 | 将 Apache Commons Collections 升级到 3.2.2、4.1 及以上版本 |
| CVE-2020-13936 | Apache Velocity 是一个基于 Java 的模板引擎。 Apache Velocity 存在远程代码执行漏洞,攻击者能够通过修改Velocity模板从而执行任意Java代码或运行与Servlet容器帐户相同特权的任意系统命令。 | 将 Velocity 升级到 2.3 及以上版本 |
| CVE-2021-2471 | Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。 Oracle MySQL 的 MySQL Connectors 产品中存在XML外部实体注入漏洞,该漏洞是由于MySQL JDBC 存在getSource()方法未对传入的XML数据做校验,导致攻击者可以在XML数据中引入外部实体,造成XXE攻击 |
将 mysql-connector-java 升级到 8.0.27 及以上版本 |
