关于commons-collections库中的以下漏洞,
https://www.kb.cert.org/vuls/id/576313
我发现受影响的版本3.2.1在我在2.5.5下运行的Grails项目中被拉入hibernate(3.6.10.18)。 这种库的使用是否会在暴露漏洞方面造成任何威胁。 我是否应该将修补版本(3.2.2)作为直接依赖项导入以减少任何暴露机会?
答案 0 :(得分:1)
有问题的易受攻击的类(InvokerTransformer)从未在Grails代码库中使用过,我也不会在Grails应用程序中看到此漏洞可被利用的情况。
然而,您当然可以升级到3.2.2,只需在BuildConfig.groovy或build.gradle文件中指定相关性