对我们其中一个程序集的 Veracode 分析发现,使用System.Windows.AssemblyPart.Load(Stream)是一个“严重”的安全漏洞,因为它允许操作系统命令注入或CWE-78。
我们在动态加载 XAP 模块时使用 AssemblyPart.Load:从资源流中读取 AppManifest,解析出 AssemblyPart,然后加载它们。
首先,我不清楚为什么 Load(stream) 是一个安全漏洞,因为我找不到任何描述这个漏洞的东西,因为它与 Silverlight 相关。
如果它对操作系统有潜在危险,如何缓解?