升级到 Springboot 2.6.6 后,maven 依赖项检查运行失败,出现多个漏洞错误
spring-boot-2.6.6.jar:CVE-2013-4152、CVE-2014-0054、CVE-2013-7315 spring-boot-starter-reactor-netty-2.6.6.jar:CVE-2013-4152
有没有人遇到过类似的问题?
在关于如何阅读依赖性检查报告的文档中,指出需要检查所识别的CPE是否正确(错误肯定主要发生在CPE)。
此外:
一旦CPE被识别,相关的CVE条目被添加到报告中。
有关上面引用的文本,请参阅“依赖关系检查如何工作”。
因此,假阳性CPE可导致假阳性CVE。
通过cpe:/:vmware:spring_framework:2.6.6可以找到2.6.6版本修复的原始CVE-2022-22965与升级到2.6.6版本时新列出的旧CVE-2013-7315之间的公共链接,请参见NVD数据库中的搜索结果。然而,我不知道这家老牌CVE上市的确切原因。
作为对你问题的回答,我的结论是:是的,我也有同样的经历,但最有可能的是,列出的CVE是误报,因为Springboot 2.6.6没有已知的漏洞。
