我有一个使用 2.8.2 版(当前)的 Play Framework Scala 应用程序
当我从https://github.com/albuch/sbt-dependency-check (ver 2.0.0)运行 OWASP 扫描程序时,它会标记以下 CVE,这显然已在 Play 2.3.9 中修复:
https://nvd.nist.gov/vuln/detail/CVE-2015-2156
这个 vuln 实际上不是在当前 Play 中修复的吗?或者是 vuln 扫描仪以某种方式配置错误?我该如何解决?
依赖报告中的相关部分如下所示:
shaded-oauth-2.1.2.jar
...
Identifiers
pkg:maven/com.typesafe.play/shaded-oauth@2.1.2 (Confidence:High)
cpe:2.3:a:playframework:play_framework:2.1.2:*:*:*:*:*:*:* (Confidence:Highest)
我的项目依赖树中这个 dep 的路径如下所示:
[info] com.example:my-app_2.12:1.0-SNAPSHOT [S]
[info] +-com.typesafe.play:filters-helpers_2.12:2.8.2
[info] +-com.typesafe.play:play-ahc-ws_2.12:2.8.2
[info] | +-com.typesafe.play:play-ahc-ws-standalone_2.12:2.1.2
[info] | | |
[info] | | +-com.typesafe.play:shaded-oauth:2.1.2
我注意到 play-ahc-ws 2.8.2 确实依赖于几个版本为 2.1.2 的游戏库,请参见此处:https ://mvnrepository.com/artifact/com.typesafe.play/play-ahc-ws_2.13 /2.8.2,包括https://mvnrepository.com/artifact/com.typesafe.play/play-ahc-ws-standalone_2.13/2.1.2 这些库没有发布高于 2.1.2 的版本