Maven 在哪里可以找到JSTL版本1.2.3或更高版本?
我在应用程序中使用jstl-1.1.2 jar。Veracode显示了使用此标记库的高漏洞。Veracode显示1.2.3之前版本的漏洞。在我的研究中,我只能找到版本1.2。这个罐子有1.2.3版吗?或者我能做些什么来弥补这个漏洞 我有什么选择?请建议 我的Maven依赖项看起来像:Maven 在哪里可以找到JSTL版本1.2.3或更高版本?,maven,jstl,Maven,Jstl,我在应用程序中使用jstl-1.1.2 jar。Veracode显示了使用此标记库的高漏洞。Veracode显示1.2.3之前版本的漏洞。在我的研究中,我只能找到版本1.2。这个罐子有1.2.3版吗?或者我能做些什么来弥补这个漏洞 我有什么选择?请建议 我的Maven依赖项看起来像: <dependency> <groupId>javax.servlet</groupId> <artifactId>jstl</artifact
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>jstl</artifactId>
<version>1.1.2</version>
</dependency>
javax.servlet
jstl
1.1.2
Maven repository显示v.1.2可用(2011年6月23日):
javax.servlet
可提供:
org.apache.taglibs
:
此包的受影响版本易受XML外部实体(XXE)注入的攻击。Apache标准Taglibs 1.2.3之前版本允许远程攻击者通过或JSTL XML标记中特制的XSLT扩展执行任意代码或进行外部XML实体(XXE)攻击
1.2仍然存在漏洞。可接受的版本为1.2.3,只有TagLib已更新,最新版本为上述1.2.5。JSTL的更新不可用:谢谢Alex Rudenko!!我已将taglibs版本更新为1.2.3,运行良好。我现在唯一关心的是Jstl。修复程序似乎只适用于标记库。“或者我可以做些什么来修复此漏洞?”只是不要使用Jstl
和
标记。这两个是唯一具有vulrenability的JSTL标记。然而,它们很少被使用,因为整个
和
标记库是自JSP 2.0(2003年)以来正式不鼓励用于生产应用程序的,并且只建议用于原型制作。