我们在应用程序中使用下面的Spring Framework jar文件列表,我们没有在应用程序中使用Spring的websocket或任何其他形式的websocket依赖项,也没有启用STOMP支持的代码引用。
有人可以确认我们是否仍然容易受到CVE-2018-1270的攻击吗?
spring-security-web-4.2.3.RELEASE.jar
spring-security-core-4.2.3.RELEASE.jar
spring-security-config-4.2.3.RELEASE.jar
spring-aspects-4.3.12.RELEASE.jar
spring-web-4.3.12.RELEASE.jar
spring-tx-4.3.12.RELEASE.jar
spring-orm-4.3.12.RELEASE.jar
spring-jdbc-4.3.12.RELEASE.jar
spring-expression-4.3.12.RELEASE.jar
spring-core-4.3.12.RELEASE.jar
spring-context-support-4.3.12.RELEASE.jar
spring-context-4.3.12.RELEASE.jar
spring-beans-4.3.12.RELEASE.jar
spring-jms-4.3.12.RELEASE.jar
spring-messaging-4.3.12.RELEASE.jar
spring-aop-4.3.12.RELEASE.jar
答案 0 :(得分:0)
4.3分支的所有版本(最高4.3.15)都会受到影响,您应按照建议升级到4.3.16。更多信息,请访问:https://pivotal.io/security/cve-2018-1270
如果您通过WebSockets使用STOMP,这只会影响您,否则您不会受到影响。