Closed ghost closed 2 years ago
检测到 lealone/Lealone 一共引入了132个开源组件,存在3个漏洞
漏洞标题:Netty 安全漏洞 缺陷组件:io.netty:netty-codec-http@4.1.68.Final 漏洞编号:CVE-2021-43797 漏洞描述:Netty是Netty社区的一款非阻塞I/O客户端-服务器框架,它主要用于开发Java网络应用程序,如协议服务器和客户端等。 Netty 存在安全漏洞,该漏洞源于Netty是一个异步事件驱动的网络应用框架,用于快速开发可维护的高性能协议服务器和客户端。版本4.1.7.1之前的Netty。当控件字符出现在头名称的开头和结尾时,Final将跳过它们。相反,它应该很快失败,因为这是规范不允许的,可能会导致HTTP请求走私。如果没有进行验证,netty可能会在将这些头名称转发给另一个用作代理的远程系统之前对其进行“消毒”。这个远程系统无法再看到无效的使用,因此无法看到 影响范围:(∞, 4.1.71.Final) 最小修复版本:4.1.71.Final 缺陷组件引入路径:org.lealone:lealone-test@5.0.0-SNAPSHOT->org.lealone:lealone-main@5.0.0-SNAPSHOT->org.lealone:lealone-web@5.0.0-SNAPSHOT->io.vertx:vertx-core@4.1.5->io.netty:netty-codec-http@4.1.68.Final
另外还有3个漏洞,详细报告:https://mofeisec.com/jr?p=a0f896
检测到 lealone/Lealone 一共引入了132个开源组件,存在3个漏洞
另外还有3个漏洞,详细报告:https://mofeisec.com/jr?p=a0f896