CoreNLP Xerces存在依赖性漏洞CVE-2022-23437,

zpjtge22  于 6个月前  发布在  其他
关注(0)|答案(6)|浏览(82)

Xerces是一个通过xom进入CoreNLP的传递依赖。它有一个漏洞CVE-2022-23437,需要升级到2.12.2。
我可以看到,截至目前,xom没有发布任何升级Xerces的新版本。

gtlvzcf8

gtlvzcf81#

你能发一个关于xom的问题吗?我们无法控制它,基本上没有机会尝试移除它......
2022年3月30日星期三晚上11:55,Sandeep Kulkarni ***@***.***>写道:Xerces是一个通过xom进入CoreNLP的传递依赖。它有一个漏洞CVE-2022-23437 < https://github.com/advisories/GHSA-h65f-jvqw-m9fj >,需要升级到2.12.2版本。我可以看到xom没有新版本可以升级到这个日期的Xerces。——直接回复此电子邮件,查看GitHub上的<#1264>,或取消订阅< https://github.com/notifications/unsubscribe-auth/AA2AYWJ63KZEHIV75CQIMN3VCVD5JANCNFSM5SELEJ4Q >。你收到这封邮件是因为你订阅了这个线程。消息ID: ***@***.***>

2wnc66cl

2wnc66cl2#

是的,我也做过那个:elharo/xom#175

x0fgdtte

x0fgdtte3#

xerces实际上并不在我们发布的版本中,或者在我们的pom文件中,对吗?除了替换xom,我们完全无法做任何事情来影响这个。如果xom被更新了而我们没有注意到,请随时联系我们,我们会进行更新。

inkz8wg9

inkz8wg94#

Xom已经更新到1.3.8版本。
并且xalan已经被设置为可选。
xalan的值为vuln CVE-2022-34169

jc3wubiy

jc3wubiy5#

谢谢,我们可以尝试一下:
3ded6f0

jdzmm42g

jdzmm42g6#

@VishalGokhale 显然maven仍然从xom导入xalan。查看xom的pom文件,我看不到任何理由相信xalan是可选的:
https://repo1.maven.org/maven2/xom/xom/1.3.8/xom-1.3.8.pom

相关问题