coldJune / spring

0 stars 1 forks source link

同学,您这个项目引入了70个开源组件,存在20个漏洞,辛苦升级一下 #25

Open ghost opened 2 years ago

ghost commented 2 years ago

检测到 coldJune/spring 一共引入了70个开源组件,存在20个漏洞

漏洞标题:Thymeleaf-Spring5 安全漏洞
缺陷组件:org.thymeleaf:thymeleaf-spring5@3.0.11.RELEASE
漏洞编号:CVE-2021-43466
漏洞描述:Thymeleaf-Spring5是Thymeleaf团队的一个适用于 Web 和独立环境的开源现代服务器端 Java 模板引擎。
Thymeleaf-Spring5 存在安全漏洞,该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。
影响范围:(∞, 3.0.13.RELEASE)
最小修复版本:3.0.13.RELEASE
缺陷组件引入路径:com.coldjune:readlinglistwithcustomize@0.0.1-SNAPSHOT->org.springframework.boot:spring-boot-starter-thymeleaf@2.2.1.RELEASE->org.thymeleaf:thymeleaf-spring5@3.0.11.RELEASE

另外还有20个漏洞,详细报告:https://mofeisec.com/jr?p=iad57a

kwaicssec commented 2 years ago

@coldJune,同学,您好,上面的漏洞报告是我IDE运行时,安全插件提示您这个项目存在的几个漏洞的报告,辛苦您修复一下哈,担心其他人也会用到你这个项目,从而引入这些漏洞。:)