我从 Sonar 上的 Dependency-Checker 工具获得以下信息:
Filename: spring-boot-starter-integration-2.3.7.RELEASE.jar | Reference: CVE-2019-3772 | CVSS Score: 9.8 | Category: CWE-611 | Spring Integration (spring-integration-xml and spring-integration-ws modules), versions 4.3.18, 5.0.10, 5.1.1, and older unsupported versions, were susceptible to XML External Entity Injection (XXE) when receiving XML data from untrusted sources.
我正在使用spring boot 2.3.7.RELEASE. Spring-Frameworks 的版本是Spring 5.2.12.RELEASE和Spring-Integration 5.3.4.RELEASE。依赖关系树中没有旧的 Spring 依赖关系。很少有应用程序模块使用 Spring-AOP(不确定 spring-integration 和 spring-aop 的组合会导致该问题吗???)。
结合 Spring-Integration 和 Spring-AOP 是否存在任何已知的 CVE 问题?
我不知道为什么会弹出这个问题,我该怎么做才能让它消失。
非常欢迎提示,非常感谢