Question

В настоящее время у меня есть разработка с xmlrpc, и я пытаюсь обновить библиотеку, так как в ней есть несколько известных уязвимостей, и я обнаружил, что проект не находится на обслуживании, поскольку является последней версией 3.1.2 из 2010

Список уязвимостей с номерами CVE:

CVE-2016-5002 - Атака SSRF с помощью загрузки внешнего DTD в ws-xmlrpc.
CVE-2016-5003 - десериализация ненадежных данных через сериализуемый тип данных в ws-xmlrpc.
CVE-2016-5004 - DoS-атака с помощью заголовка Content-Encoding в ws-xmlrpc.

Есть ли официальное решение?Я не хочу восстанавливать код вручную.

Рекомендации:

https://ws.apache.org/xmlrpc/changes-report.html

https://mvnrepository.com/artifact/org.apache.xmlrpc/xmlrpc-client

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5002

Уязвимости Apache XML-RPC HowTo FIX CVE-2016-5002

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 0 ]

Уязвимости Apache XML-RPC HowTo FIX CVE-2016-5002

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 0 ]

Похожие темы