如何修复selenium:htmlunit驱动程序3.62.0中的漏洞(CVE-2022-34169(。它来自Xalan Java»2.7.2作为一个直接漏洞
我们在我们的空手道框架中使用org.seleniumhq.selene:htmlunit driver:3.62.0。Whitesource扫描正在捕获来自xalan 的此漏洞
2.7.2是Xalan的最新版本,我们没有任何更新的版本。有办法解决吗它
如有任何帮助,将不胜感激
据我所知,目前还没有可用的特定修复程序,但您可以尝试使用不同版本的selenium:htmlunit-driver来减轻该漏洞。
注意:Apache Xalan项目预计不会发布固定版本,该项目正在退役。由于整数截断问题,此包在处理恶意XSLT样式表时容易受到任意代码执行的攻击。这将允许攻击者破坏内部XSLTC编译器生成的Java类文件,并执行任意Java字节码。因此,您可以考虑Apache Santuario和interSystem IRIS等替代方案,后者是最好的替代方案。