在版本1.7到2.4.3中检测到Groovy中存在安全漏洞:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3253
Apache Groovy 1.7.0到2.4.3中的运行时/ MethodClosure.java中的MethodClosure类允许远程攻击者通过精心设计的序列化对象执行任意代码或导致拒绝服务。
这是否会影响从用户输入(Web表单),数据库,Web服务等检索数据的“典型”Grails项目,并假设这是所有文本,而不是序列化对象?换句话说,我们应该注意到这种情况是否隐含发生?
否则,我们应该寻找什么来确保这个错误不影响我们?
答案 0 :(得分:2)
Grame确实存在这个问题,但是还没有人能够在Grails应用中显示任何方式来利用它:https://github.com/grails/grails-core/issues/9113
简而言之:“计划是2.5.1,3.0.4将有Groovy 2.4.4”