运行OWASP依赖关系检查时,我收到以下问题报告(易受攻击的依赖关系(
CWE: CVE-2010-1807
CWE-20 Improper Input Validation
Severity (CVSS): High (9.3)
Dependency: android-json-0.0.20131108.vaadin1.jar
我正在使用 Spring Boot 1.5.3。做gradlew dependencies我看到android-json确实是 Spring Boot 的依赖关系
+--- org.springframework.boot:spring-boot-configuration-processor: -> 1.5.3.RELEASE
| --- com.vaadin.external.google:android-json:0.0.20131108.vaadin1
如何检查这是误报还是有效问题?
编辑:此依赖项不在运行时使用。 它仅用于测试。
如果依赖项仅在测试中使用,那么它应该没问题。几乎根据定义,测试不使用用户输入,并且通常无法在生产环境中运行。因此,测试或测试依赖项中的漏洞并不是真正的问题。我会联系Spring Boot开发人员,询问为什么他们将一个可能易受攻击的库作为依赖项,或者查看他们的GitHub问题。
该问题是误报。
如CVE中所述,该漏洞位于2.2之前在Android中使用的Apple的WebKit中:
Apple Safari 4.x 4.1.2 之前版本和 5.x 版 5.0.2 之前的 WebKit;安卓2.2之前;和 1.2.6 之前的 webkitgtk;未正确验证浮点数据,这使得远程攻击者能够通过构建的 HTML 文档执行任意代码或造成拒绝服务(应用程序崩溃(,这与非标准 NaN 表示形式相关。
OWASP依赖关系检查似乎被错误地识别android-json-0.0.20131108.vaadin1.jar为Android的一部分。实际上,jar 是org.json:json的洁净室实现,除了最初由 Android 团队开发之外,与 Android 无关。它当然不包含WebKit。