关于我们使用Vaadin 8.13.2和Vaadin Charts 4.2.1的应用程序的VAPT,我们收到了很多热。Vaadin charts使用High charts 4.2.7,它有几个已知的安全问题。XSS https://snyk.io/vuln/snyk - js highcharts - 571995)。
我们确实需要修复这个问题,或者至少需要Vaadin的正式通信,声明在Vaadin 8中该漏洞是不可执行的。
Vaadin销售支持人员说在这里要求这种帮助和文档,我们是专业客户。
编辑:他们通过更好地清理Vaadin Charts 4.3.0中的输入修复了这个问题
听说Vaadin有人将安全问题重定向到Stack Overflow,而不是将讨论转发给我们的安全团队,我很难过。与此同时,我意识到并不是每个Vaadin的人都是具有深刻安全见解的软件工程师,错误是可能发生的。
我们的总体理解是,Highcharts版本报告的问题仅适用于图表数据或配置基于不受信任用户的输入的情况,而在使用Vaadin构建的应用程序类型中通常不是这种情况。
在我们得出任何明确的结论之前,我们还需要一些时间来重新检查细节。不幸的是,由于向后兼容性问题,遵循Highcharts的建议更新到新版本是不切实际的。在Vaadin Charts中引入额外的检查来降低这些风险可能是可行的,否则我们将不得不为应用程序代码提出具体的建议。我们还在讨论Vaadin是否应该更主动地处理传递依赖关系中的安全问题,但这是一个复杂的问题,需要在许多不同因素之间取得平衡。
敬上,
Leif Åstrand
vadin的CTO