search

PaddleFlow / paddle-operator

Elastic Deep Learning Training based on Kubernetes by Leveraging EDL and Volcano
Apache License 2.0
31 stars 15 forks source link

项目引用了github.com/dgrijalva/jwt-go等283个开源组件,存在8个漏洞,建议升级 #86

Closed ghost closed 2 years ago

ghost commented 2 years ago

大佬,你好,我是@abbykimi,我IDE运行您这个项目的时候,提示有几个漏洞,项目调用了github.com/dgrijalva/jwt-go等283个开源组件,存在8个安全漏洞,建议你升级下。

漏洞标题:jwt-go 安全漏洞
漏洞编号:CVE-2020-26160
漏洞描述:
jwt-go是个人开发者的一个Go语言的JWT实现。
jwt-go 4.0.0-preview1之前版本存在安全漏洞。攻击者可利用该漏洞在使用[]string{} for m[\"aud\"](规范允许)的情况下绕过预期的访问限制。
影响范围:(∞, 4.0.0-preview1)
最小修复版本:4.0.0-preview1
引入路径:
github.com/paddleflow/paddle-operator@->k8s.io/client-go@v0.19.2->github.com/Azure/go-autorest/autorest/adal@v0.8.2->github.com/dgrijalva/jwt-go@v3.2.0+incompatible

另外7个漏洞 ,信息有点多我就不贴了,你自己看下完整报告:https://www.mfsec.cn/jr?p=a375e1

如果你对这个issues有任何疑问可以回复我哈( @abbykimi ),我会及时回复你的。

kuizhiqing commented 2 years ago

upgrade fix it, thx