关于commons-collections库中发现的以下漏洞,
https://www.kb.cert.org/vuls/id/576313
我发现在2.5.5下运行的Grails项目中,受影响的版本3.2.1被拉入了hibernate(3.6.10.18) . 在暴露漏洞方面,此库的使用是否构成任何威胁 . 我是否应该将修补版本(3.2.2)作为直接依赖项导入以减少任何暴露机会?
关于commons-collections库中发现的以下漏洞,
https://www.kb.cert.org/vuls/id/576313
我发现在2.5.5下运行的Grails项目中,受影响的版本3.2.1被拉入了hibernate(3.6.10.18) . 在暴露漏洞方面,此库的使用是否构成任何威胁 . 我是否应该将修补版本(3.2.2)作为直接依赖项导入以减少任何暴露机会?
1 回答
有问题的易受攻击的类(
InvokerTransformer
)从未在Grails代码库中使用过,我也没有看到Grails应用程序中可利用此漏洞的情况 .不过你可以升级到3.2.2,只需在
BuildConfig.groovy
或build.gradle
文件中指定依赖关系即可