Hibernate Grails-Apache Commons集合漏洞
关于commons collections库中发现的以下漏洞 我发现在2.5.5下运行的Grails项目中,受影响的版本3.2.1被拉入了hibernate(3.6.10.18)。 该库的这种使用在暴露漏洞方面是否构成任何威胁。Hibernate Grails-Apache Commons集合漏洞,hibernate,security,grails,apache-commons-collection,Hibernate,Security,Grails,Apache Commons Collection,关于commons collections库中发现的以下漏洞 我发现在2.5.5下运行的Grails项目中,受影响的版本3.2.1被拉入了hibernate(3.6.10.18)。 该库的这种使用在暴露漏洞方面是否构成任何威胁。 我是否应该将修补版本(3.2.2)作为直接依赖项导入以减少任何暴露的机会?所讨论的易受攻击的类(InvokerTransformer)从未在Grails代码库中使用过,并且我没有看到在Grails应用程序中可以利用此漏洞的情况 尽管如此,您当然可以升级到3.2.2,只
我是否应该将修补版本(3.2.2)作为直接依赖项导入以减少任何暴露的机会?所讨论的易受攻击的类(
InvokerTransformer
)从未在Grails代码库中使用过,并且我没有看到在Grails应用程序中可以利用此漏洞的情况
尽管如此,您当然可以升级到3.2.2,只需在
BuildConfig.groovy
或build.gradle
文件中指定依赖项即可,谢谢@Graeme,似乎我可以轻松地处理此依赖项而无需修补。我不希望在可能的情况下覆盖依赖项,不管它看起来多么微不足道。