search

dermatologist / ckblib

Tools to create a clinical knowledge graph from biomedical literature. Includes wrappers for NCBI Eutils, cTakes annotator and Neo4J
https://gulfdoctor.net
Mozilla Public License 2.0
16 stars 4 forks source link

同学,您这个项目引入了380个开源组件,存在14个漏洞,辛苦升级一下 #64

Open ghost opened 2 years ago

ghost commented 2 years ago

检测到 dermatologist/ckblib 一共引入了380个开源组件,存在14个漏洞

漏洞标题:Netty 安全漏洞
缺陷组件:io.netty:netty-codec-http@4.1.70.Final
漏洞编号:CVE-2021-43797
漏洞描述:Netty是Netty社区的一款非阻塞I/O客户端-服务器框架,它主要用于开发Java网络应用程序,如协议服务器和客户端等。
Netty 存在安全漏洞,该漏洞源于Netty是一个异步事件驱动的网络应用框架,用于快速开发可维护的高性能协议服务器和客户端。版本4.1.7.1之前的Netty。当控件字符出现在头名称的开头和结尾时,Final将跳过它们。相反,它应该很快失败,因为这是规范不允许的,可能会导致HTTP请求走私。如果没有进行验证,netty可能会在将这些头名称转发给另一个用作代理的远程系统之前对其进行“消毒”。这个远程系统无法再看到无效的使用,因此无法看到
影响范围:(∞, 4.1.71.Final)
最小修复版本:4.1.71.Final
缺陷组件引入路径:com.canehealth.ckblib:library@0.16.3->org.springframework.boot:spring-boot-starter-webflux@2.6.1->org.springframework.boot:spring-boot-starter-reactor-netty@2.6.1->io.projectreactor.netty:reactor-netty-http@1.0.13->io.netty:netty-codec-http@4.1.70.Final

另外还有14个漏洞,详细报告:https://mofeisec.com/jr?p=i47205

welcome[bot] commented 2 years ago

Thank you for raising the issue. We will try and get back to you as soon as possible. Be sure to star ✨ the repository for a priority response! Please make sure you have given us as much context as possible.