Open ghost opened 2 years ago
检测到 anjoy8/ancba 一共引入了481个开源组件,存在42个漏洞
漏洞标题:Netty 安全漏洞 缺陷组件:io.netty:netty-codec-http@4.1.52.Final 漏洞编号:CVE-2021-43797 漏洞描述:Netty是Netty社区的一款非阻塞I/O客户端-服务器框架,它主要用于开发Java网络应用程序,如协议服务器和客户端等。 Netty 存在安全漏洞,该漏洞源于Netty是一个异步事件驱动的网络应用框架,用于快速开发可维护的高性能协议服务器和客户端。版本4.1.7.1之前的Netty。当控件字符出现在头名称的开头和结尾时,Final将跳过它们。相反,它应该很快失败,因为这是规范不允许的,可能会导致HTTP请求走私。如果没有进行验证,netty可能会在将这些头名称转发给另一个用作代理的远程系统之前对其进行“消毒”。这个远程系统无法再看到无效的使用,因此无法看到 影响范围:(∞, 4.1.71.Final) 最小修复版本:4.1.71.Final 缺陷组件引入路径:club.neters:ancba-admin@0.0.1-SNAPSHOT->de.codecentric:spring-boot-admin-starter-server@2.3.1->de.codecentric:spring-boot-admin-server-ui@2.3.1->de.codecentric:spring-boot-admin-server@2.3.1->org.springframework.boot:spring-boot-starter-webflux@2.3.4.RELEASE->org.springframework.boot:spring-boot-starter-reactor-netty@2.3.4.RELEASE->io.projectreactor.netty:reactor-netty@0.9.12.RELEASE->io.netty:netty-codec-http@4.1.52.Final club.neters:ancba-admin@0.0.1-SNAPSHOT->de.codecentric:spring-boot-admin-starter-server@2.3.1->de.codecentric:spring-boot-admin-server-cloud@2.3.1->de.codecentric:spring-boot-admin-server@2.3.1->org.springframework.boot:spring-boot-starter-webflux@2.3.4.RELEASE->org.springframework.boot:spring-boot-starter-reactor-netty@2.3.4.RELEASE->io.projectreactor.netty:reactor-netty@0.9.12.RELEASE->io.netty:netty-codec-http@4.1.52.Final club.neters:ancba-admin@0.0.1-SNAPSHOT->de.codecentric:spring-boot-admin-starter-server@2.3.1->de.codecentric:spring-boot-admin-server@2.3.1->org.springframework.boot:spring-boot-starter-webflux@2.3.4.RELEASE->org.springframework.boot:spring-boot-starter-reactor-netty@2.3.4.RELEASE->io.projectreactor.netty:reactor-netty@0.9.12.RELEASE->io.netty:netty-codec-http@4.1.52.Final
另外还有42个漏洞,详细报告:https://mofeisec.com/jr?p=i0055a
感谢提出问题!如果方便的话,可以帮忙提交个PR。不方便的话,我改改。
anjoy8
commented
2 years ago anjoy8
commented
2 years ago
检测到 anjoy8/ancba 一共引入了481个开源组件,存在42个漏洞
另外还有42个漏洞,详细报告:https://mofeisec.com/jr?p=i0055a