我正在运行具有以下父级的 Spring Boot 应用程序
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.4.2.RELEASE</version>
<type>pom</type>
</dependency>
我们在我们的组织中进行了扭锁扫描。它将扫描我们构建的 docker 镜像,并报告 docker 镜像中的漏洞。
当我为我的应用程序创建一个 docker 映像并使用旋锁扫描对其进行扫描时。我发现了以下漏洞。
| CVE | 严重性 | 包裹 | 版本 | 地位 | 发表 | 描述 |
|---|---|---|---|---|---|---|
| CVE-2020-13956 | 中等的 | org.apache.httpcomponents_httpclient | 3.1-1.0 | 在 5.0.3、4.5.13 中修复 | 84 天 | 4.5.13 和 5.0.3 之前的 Apache HttpClient 版本可能会误解作为 java.net.URI 对象传递给库的请求 URI 中格式错误的权限组件,并选择错误的目标主机来执行请求。 |
| CVE-2020-13956 | 中等的 | org.apache.httpcomponents_httpclient | 3.0-1.0 | 在 5.0.3、4.5.13 中修复 | 84 天 | 4.5.13 和 5.0.3 之前的 Apache HttpClient 版本可能会误解作为 java.net.URI 对象传递给库的请求 URI 中格式错误的权限组件,并选择错误的目标主机来执行请求。 |
| CVE-2020-13956 | 中等的 | org.apache.httpcomponents_httpclient | 4.0-1.0 | 在 5.0.3、4.5.13 中修复 | 84 天 | 4.5.13 和 5.0.3 之前的 Apache HttpClient 版本可能会误解作为 java.net.URI 对象传递给库的请求 URI 中格式错误的权限组件,并选择错误的目标主机来执行请求。 |
但是我看到了我的应用程序的有效 pom,我发现我的应用程序正在使用以下不易受攻击的依赖项
org.apache.httpcomponents_httpclient 4.5.13
我也从 dockerhub 扫描了我的基础镜像,它也没有漏洞。我不确定这个漏洞来自哪里?
依赖层次结构:
