我正在做一个项目,我们正在为我们的项目使用Whitesource工具。系统白源通常告诉我需要更新一些依赖项。现在它只是说Whitesource显示问题安全漏洞附带消息:
An issue was found in io.springfox:springfox-swagger-ui. This vulnerability can lead to �Log injection�- whereas untrusted data gets written into log files/entries. It allows attackers to forge log entries or inject malicious content into the logs.
pom.xml
<dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger-common</artifactId> <version>3.0.0</version> </dependency> <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger2</artifactId> <version>3.0.0</version> <scope>compile</scope> </dependency>
请帮我解决这个问题或告诉我从哪里开始解决这个问题。
不幸的是,SpringFox https://github.com/springfox/springfox已经两年没有维护了。目前使用SpringFox的应用程序应该迁移到SpringDoc。SprinDoc GitHub repo和这里是迁移指南
不幸的是,Springfox目前没有提供修复。稍微解释一下:有了这个安全问题,攻击者可以在日志文件中写入不可信的数据,从而伪造日志条目或向日志中注入恶意内容。