近期有很多小伙伴问了个雷同的问题,危险组件曾经是最新版本了,检测还是有破绽,怎么能疾速解决呢...
拿 kaptcha 安全漏洞举例
kaptcha 是个图形验证码的库,应用该组件的人数也十分多,搜 “spring 验证码”,前几篇文章外面就有人在教如何应用这个组件(2022年的文章),国内star比拟多的我的项目同样也在用。
这个破绽简略来说就是生成验证码的随机函数不够平安,能够绝对低成本的破解。该组件危险程度较高,CVSS 评分达9.8,倡议应用该组件的我的项目及研发小伙伴尽快修复该组件。
kaptcha 修复计划
在找解决方案的时候发现,官网没有公布修复后的版本,最新版本就是2.3.2。而GitHub也提醒了这个破绽,也有人去官网仓库上面问,然而没有找到官网修复计划。
有意思的是,18年作者在GitHub上修了,而后没更新maven仓库。而解决方案能够思考换成pro.fessional:kaptcha 2.3.3版本,或者本人打包一下kaptcha。
举荐通过 oscs 社区来疾速搜寻业余的解决方案
1、破绽库地址:https://www.oscs1024.com/hl
2、搜寻相干破绽的解决方案:
3、查看解决方案/进行收费在线检测
参考链接
https://www.oscs1024.com/hd/MPS-2018-13971
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201810-1111