运行OWASP依赖项检查时,我收到以下问题报告(易受攻击的依赖项)
CWE: CVE-2010-1807
CWE-20 Improper Input Validation
Severity (CVSS): High (9.3)
Dependency: android-json-0.0.20131108.vaadin1.jar
我正在使用Spring Boot 1.5.3。
做gradlew dependencies我看到android-json确实是Spring Boot的依赖
+--- org.springframework.boot:spring-boot-configuration-processor: -> 1.5.3.RELEASE
| \--- com.vaadin.external.google:android-json:0.0.20131108.vaadin1
如何检查这是假阳性还是有效问题?
编辑:此依赖项未在运行时使用。它仅用于测试。
答案 0 :(得分:2)
如果依赖项仅用于测试,则应该没问题。几乎按定义,测试不使用用户输入,通常不能在生产环境中运行。因此,测试中的漏洞或测试依赖中的漏洞并不是真正的问题。我会联系Spring Boot开发人员,询问为什么他们有一个可能存在漏洞的库作为依赖项,或者查看他们的GitHub issues。
答案 1 :(得分:1)
这个问题是误报。
正如CVE中所述,该漏洞存在于Apple 2.2之前的Android WebKit中:
在4.1.2之前的Apple Safari 4.x中的WebKit和5.0.2之前的5.x; Android之前2.2;和1.2之前的webkitgtk;没有正确验证浮点数据,这允许远程攻击者通过精心设计的HTML文档执行任意代码或导致拒绝服务(应用程序崩溃),与非标准NaN表示相关。
OWASP依赖项检查似乎错误地将android-json-0.0.20131108.vaadin1.jar标识为Android的一部分。实际上,jar是org.json:json的洁净室实现,除了最初由Android团队开发之外,与Android无关。它当然不包含WebKit。