堆栈内存溢出
  繁体   English   中英

脆弱的依赖 maven:org.yaml:snakeyaml

[英]vulnerable dependency maven:org.yaml:snakeyaml

 原文  2022-12-13 08:11:03       java/ spring-boot/ maven/ dependencies/ pom.xml

问题描述

我会定期检查pom.xml上的漏洞,通常会通过更新依赖版本来解决这些问题。 但是,我收到以下错误:

提供可传递的易受攻击的依赖项 maven:org.yaml:snakeyaml:1.30 CVE-2022-25857 7.5 待定 CVSS 分配的不受控制的资源消耗漏洞 CVE-2022-38752 6.5 发现中等严重性的越界写入漏洞 CVE-2022-38749 6.5 Out -越界写入漏洞等待 CVSS 分配 CVE-2022-38750 5.5 越界写入漏洞等待 CVSS 分配 CVE-2022-38751 6.5 越界写入漏洞等待 CVSS 分配 CVE-2022-41854 6.5 基于堆栈发现中等严重程度的缓冲区溢出漏洞 CVE-2022-1471 9.8 发现高严重程度的不可信数据反序列化漏洞
结果由 Checkmarx(c) 提供支持

我尝试将<version>添加到我的pom.xml中的<artifactId>spring-boot-starter-web</artifactId> ,但这没有任何意义。

那么,我该如何正确解决这个问题呢? 我使用 IntelliJ 默认功能来解决此类问题,但我应该做一些额外有用的插件等吗?

2 个解决方案

解决方案1
 4 已采纳  2022-12-13 08:24:57

不幸的是,Spring Boot 2.7.x 仍然使用旧的易受攻击的 SnakeYAML (1.30) 版本。 他们仍然没有将它升级到最新版本 (1.33)。 Spring Boot 3.0.0 确实依赖于版本 1.33。

假设您还不能升级到 Spring Boot 3.0.0,唯一应该起作用的是在您的项目中添加对SnakeYAML 1.33的依赖。 该版本应优先于 Spring Boot 的传递依赖性。

但是,SnakeYAML 1.33 仍然存在漏洞。 因为这是最后一个版本(SnakeYAML 2.x 与 1.x 不兼容),所以在 SnakeYAML 团队修复它之前你无法摆脱它。

解决方案2
 0  2023-01-06 04:39:08

Rob Spoor已经解释了原因,可以通过排除依赖项来消除此警告:

<exclusions>
    <exclusion>
        <groupId>org.yaml</groupId>
        <artifactId>snakeyaml</artifactId>
    </exclusion>
</exclusions>

在对应的<dependency>label中添加上面的代码。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 Maven 依赖项中未显示 Prisma 易受攻击的依赖项:树 如何修复 java.lang.NoSuchMethodError: org.yaml.snakeyaml.Yaml。<init> (lorg/yaml/snakeyaml/constructor/BaseConstructor?</init> java.lang.NoClassDefFoundError: org/yaml/snakeyaml/constructor/BaseConstructor 火花发射器。 java.lang.NoSuchMethodError: org.yaml.snakeyaml.Yaml。<init> Snakeyaml将yaml转换为pojo 使用SnakeYaml的Yaml YAML、时间戳和 SnakeYAML 引擎 SnakeYaml 中 yaml 中的当前日期时间 是否有人从本地Maven存储库成功使用SnakeYAML加载了YAML文件? NoClassDefError:SnakeYAML,与Maven
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM