问题描述
我从 Sonar 上的 Dependency-Checker 工具获得以下信息:
Filename: spring-boot-starter-integration-2.3.7.RELEASE.jar | Reference: CVE-2019-3772 | CVSS score: 9.8 | Category: CWE-611 | Spring Integration (spring-integration-xml and spring-integration-ws modules),versions 4.3.18,5.0.10,5.1.1,and older unsupported versions,were susceptible to XML External Entity Injection (XXE) when receiving XML data from untrusted sources.
我正在使用 spring boot 2.3.7.RELEASE。 Spring-Frameworks 的版本是 Spring 5.2.12.RELEASE 和 Spring-Integration 5.3.4.RELEASE。依赖树中没有旧的 Spring 依赖关系。很少有应用程序模块在使用 Spring-AOP(不确定是 spring-integration 和 spring-aop 的组合导致了这个问题???)。
是否存在与 Spring-Integration 和 Spring-AOP 结合使用的已知 CVE 问题?
我不知道为什么会弹出这个,我该怎么做才能让它消失。
非常欢迎提示,非常感谢
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)