发表新帖

发表新帖

Spring Web UricomponentsBuilder URL解析不当漏洞怎么解决

Blade 未结

关注

 2  367

大葱 2024-06-17 14:36

一、该问题的重现步骤是什么？

1. Spring Web UricomponentsBuilder URL解析不当漏洞（CVE-2024-22243）

2. 只需要升级spring - web 版本能解决？

3.

二、你期待的结果是什么？实际看到的又是什么？

三、你正在使用的是什么产品，什么版本？在什么操作系统上？

四、请提供详细的错误堆栈信息，这很重要。

五、若有更多详细信息，请在下面提供。

2条回答

大葱 (楼主)

2024-06-19 09:48

问题：漏洞是阿里云扫描出来的，且定位是这个版本的问题。
障碍：目前分析，如果修复的话只能提升版本，但是强制更新后初步定位是与springboot版本不兼容，导致项目无法启动
期望：想以最小的代价把这个漏洞避免掉，是否有比较高效的方法？

作者追问:2024-06-19 09:48

只能升级spring的版本，然后每个进行依赖适配。注意bladex-tool的版本也需要修改，修改后适配完工具类的依赖问题。然后执行mvn clean install安装。接着再修改bladex的依赖，最后解决spring相关升级版本的问题。

如果解决不了可以找我们官方进行有偿定制升级，联系邮箱 bladejava@qq.com

0 讨论(0)

查看其它2个回答
发布评论:

提交评论
- 加载中...

热议问题: 工作流多租户问题，租户管理员能否自己添加属于自己的流程。 1; bladex4.1.0版 knife4j-openapi3文档接口出不来 2; Saber框架是有版本号呢 2; cloud的cacheUtil 获取缓存对象时报java.lang.String cannot be cast to org.springblade.user.entity.User 2; 关于Swagger安全漏洞 1; 默认密钥漏洞 1; bladex框架的历史版本文档在哪里能够看到 2; 二开一个场景联动通过表单配置告警规则或者联动规则 1; 研发工具-->数据模型设计-->选择-->点击“新增”，报错“ 创建IDatabaseQuery实例出现错误” 1; BladeX-Boot-master 4.1.0.RELEASE 第三方自定义 TokenGranter怎么定制，和老版本变化太大了 1

官方产品

BladeX 企业级开发平台 BladeX 可视化数据大屏

官方新品

BladeX 物联网开发平台

扫一扫访问 Blade技术社区移动端