apolloconfig/apollo

apollo-common和apollo-biz有一些安全漏洞

Open

#5.386 aberto em 14 de mai. de 2025

Ver no GitHub
 (3 comments) (0 reactions) (0 assignees)Java (10.177 forks)batch import
help wanted

Métricas do repositório

Stars
 (29.769 stars)
Métricas de merge de PR
 (Mesclagem média 3d) (9 fundiu PRs em 30d)

Description

你好,我引入apollo-common和apollo-biz2.4.0版本,发现有一些安全漏洞,请问有计划进行升级吗? apollo-common H2 Database Engine:2.1.214 (CVE-2022-45868 (BDSA-2022-3649)) Nimbus-JOSE-JWT:9.22(CVE-2023-52428 (BDSA-2023-3666)) PostgreSQL JDBC Driver (pgjdbc):42.3.8(CVE-2024-1597 (BDSA-2024-0368)) SnakeYAML:1.33(CVE-2022-1471 (BDSA-2022-3447)) Spring Boot:2.7.18(BDSA-2024-5686 (CVE-2024-38807)) Spring Framework:5.3.39(CVE-2016-1000027) Spring Security:5.7.11(BDSA-2024-0647 (CVE-2024-22257)、BDSA-2024-7762)

apollo-biz Apache Commons JXPath:1.3(CVE-2022-40159 (BDSA-2022-3402)) Apache ZooKeeper:3.9.2(BDSA-2024-8266) Jettison - Json Stax implementation:1.4.0(CVE-2022-40149 (BDSA-2022-3277)、CVE-2022-40150 (BDSA-2022-3278)、CVE-2022-45685 (BDSA-2022-3714)、CVE-2022-45693 (BDSA-2022-3715)、CVE-2023-1436 (BDSA-2023-0994)) Woodstox:6.2.1(CVE-2022-40152 (BDSA-2022-2582))

Guia do colaborador

Direção de pesquisa
Revise os comentários da issue para ver se os mantenedores responderam sobre planos de atualização. Caso contrário, pesquise as versões mais recentes corrigidas de cada dependência listada (H2, Nimbus JOSE JWT, PostgreSQL JDBC, SnakeYAML, Spring Boot, Spring Framework, Spring Security, Apache Commons JXPath, ZooKeeper, Jettison, Woodstox). Crie um branch que atualize essas dependências nos arquivos pom.xml do projeto Apollo, execute a suíte de testes e abra um pull request referenciando esta issue.
Pilha de tecnologia
java
Domain
backendsecurity
Tipo Issue
Segurança
DifficultyDificuldade de implementação estimada para um novo contribuidor, de 1 para alterações muito pequenas a 5 para trabalho de nível especializado.
3
Tempo estimadoUm intervalo de tempo aproximado para um colaborador experiente investigar, implementar, testar e preparar um pull request.
1-2 dias
Status da atividadeQuão disponível o issue aparece agora: novo, ativo, obsoleto, bloqueado ou aguardando entrada do mantenedor.
Aguardando mantenedor
ClarityCom que clareza o issue explica a mudança esperada, os critérios de aceitação e a próxima etapa.
Claro
Prerequisites
JavaApache Mavendependency management
Simpatia para novatosUma pontuação de 1 a 100 que estima o quão acessível este issue é para colaboradores iniciantes.
40