search

wujun728 / jun_amis_lowcode

jun_amis_lowcode是基于百度amis前端低代码框架+后端SpringBoot在线接口开发平台(jun_api_online)构建的低代码开发框架。其可使用JSON 配置来生成页面(不仅仅是表单引擎),使用动态mapping及动态生成bean的方式执行SQL脚本及JVM脚本来动态生成接口。
10 stars 10 forks source link

同学,您这个项目引入了98个开源组件,存在23个漏洞,辛苦升级一下 #61

Open ghost opened 2 years ago

ghost commented 2 years ago

检测到 wujun728/jun_springboot_admin_vue 一共引入了98个开源组件,存在23个漏洞

漏洞标题:Vmware VMware Spring Security 权限许可和访问控制问题漏洞
缺陷组件:org.springframework.security:spring-security-core@5.2.8.RELEASE
漏洞编号:CVE-2021-22112
漏洞描述:Vmware VMware Spring Security是美国威睿(Vmware)公司的一套为基于Spring的应用程序提供说明性安全保护的安全框架。
VMware Spring Security 中存在权限许可和访问控制问题漏洞。该漏洞源于攻击者可以通过Spring Security的多个SecurityContext更改绕过限制,以提升其权限。以下产品及版本受到影响:Spring Security 5.4.0 至 5.4.3 版本, Spring Security 5.3.0.RELEASE 至 5.3.7.RELEASE 版本, Spring Security 5.2.0.RELEASE 至 5.2.8.RELEASE 版本。
影响范围:(∞, 5.2.9.RELEASE)
最小修复版本:5.2.9.RELEASE
缺陷组件引入路径:com.reading:reading-common@3.4.0->org.springframework.boot:spring-boot-starter-security@2.2.13.RELEASE->org.springframework.security:spring-security-config@5.2.8.RELEASE->org.springframework.security:spring-security-core@5.2.8.RELEASE

另外还有23个漏洞,详细报告:https://mofeisec.com/jr?p=a9cab0

kwaicssec commented 2 years ago

@wujun728,同学,您好,上面的漏洞报告是我IDE运行时,安全插件提示您这个项目存在的几个漏洞的报告,辛苦您修复一下哈,担心其他人也会用到你这个项目,从而引入这些漏洞。:)