miemiehoho / blog_miemiehoho

个人博客系统
0 stars 0 forks source link

同学,您这个项目引入了205个开源组件,存在16个漏洞,辛苦升级一下 #1

Open ghost opened 2 years ago

ghost commented 2 years ago

检测到 miemiehoho/blog_miemiehoho 一共引入了205个开源组件,存在16个漏洞

漏洞标题:netty 安全漏洞
缺陷组件:io.netty:netty-codec@4.1.65.Final
漏洞编号:CVE-2021-37136
漏洞描述:Netty是Netty社区的一款非阻塞I/O客户端-服务器框架,它主要用于开发Java网络应用程序,如协议服务器和客户端等。
netty存在安全漏洞,该漏洞源于Bzip2 decompression decoder功能不允许对解压输出数据设置大小限制(这会影响解压期间使用的分配大小)。攻击者可利用该漏洞引发DoS攻击。
影响范围:(∞, 4.1.68.Final)
最小修复版本:4.1.68.Final
缺陷组件引入路径:miemiehoho.com:blog-api@1.0.0->org.springframework.boot:spring-boot-starter-data-redis@2.5.0->io.lettuce:lettuce-core@6.1.2.RELEASE->io.netty:netty-handler@4.1.65.Final->io.netty:netty-codec@4.1.65.Final

另外还有16个漏洞,详细报告:https://mofeisec.com/jr?p=a8f7d7

kwaicssec commented 2 years ago

@miemiehoho,同学,您好,上面的漏洞报告是我IDE运行时,安全插件提示您这个项目存在的几个漏洞的报告,辛苦您修复一下哈,担心其他人也会用到你这个项目,从而引入这些漏洞。:)